Bewältigen Sie Anforderungen der Europäischen Datenschutzgrundverordnung (EU-DSGVO) mit Hilfe von ADONIS und ADOIT

Die Europäische Datenschutzgrundverordnung (EU-DSGVO) wurde im Europäischen Parlament im Mai 2016 beschlossen. Als Umsetzungsfrist wurden zwei Jahre festgelegt – somit tritt diese Verordnung Ende Mai 2018 in Kraft. Sie regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen einheitlich für die gesamte Europäische Union und gilt unmittelbar in allen Mitgliedstaaten, ohne in nationales Recht umgesetzt werden zu müssen.

Obwohl einige Detailfragen noch nicht zur Gänze geklärt sind, stehen schon folgende wesentlichen Änderungen gegenüber bestehender gesetzlicher Regelungen fest:

 

  • Erhöhte Informationspflichten über die Art der Nutzung der Daten
  • Pflicht zur Wahrung des Rechts auf Herausgabe der Daten
  • Verpflichtende Benennung eines Datenschutzbeauftragten
  • Verpflichtung zum Versand einer „Data Breach Notification“ an Betroffene
    und an die Behörde im Falle eines Bruchs der Datensicherheit
  • Deutlich erhöhter Strafrahmen: bis zu 4 % des Jahresumsatzes

 

Aufgrund dieser und ähnlicher Änderungen sind Unternehmen bis zum Inkrafttreten der EU-DSGVO gefordert, Maßnahmen zu ergreifen, um die Einhaltung der Grundverordnung sicherstellen zu können.

 

Aus diesem Grund haben wir Möglichkeiten erarbeitet, wie Sie verschiedene Aspekte der DSGVO mit Hilfe von ADONIS oder ADOIT einfach und unkompliziert erfüllen und nachweisen können.

 

Im vorliegenden Artikel gehen wir in Kürze näher auf Einzelheiten der Anforderungen und Umsetzungsvorschläge mit unseren Prozessmanagement- bzw. Unternehmensarchitekturmanagement-Werkzeugen ein.

Grundlegende Informationen zur EU-DSGVO

Aus Gesichtspunkten der elektronischen Datenverarbeitung stehen folgende Aspekte von Daten und deren Verarbeitung im Vordergrund der EU-Datenschutzgrundverordnung:

 

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Sensible Daten (besonders schutzwürdige Daten): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, etc.
  • Verarbeitung: Ein mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
  • Profiling: Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

 

Im Zuge dieser Verarbeitung unterschiedlicher Datenarten wird darüber hinaus in die folgenden Akteure unterschieden:

 

  • Betroffene: Haben ein Interesse am Schutz ihrer personenbezogenen oder sensiblen Daten.
  • Verantwortliche: Entscheiden über die Art der Datenverarbeitung.
  • Auftragsverarbeiter/innen: Verarbeiten Daten auf Anweisung der Verantwortlichen.

 

Wesentliche Aufgaben, die auf datenverarbeitende Unternehmen zukommen, umfassen beispielsweise die nachfolgenden:

  • Erstellung und Pflege des Verzeichnisses aller Verarbeitungstätigkeiten (Art. 30 EU-DSGVO),
  • Umsetzung technischer und organisatorischer Maßnahmen (Art. 21 EU-DSGVO),
  • Einhaltung der gesetzlich vorgeschriebenen Löschungspflichten (Art. 17 EU-DSGVO ) und deren Standardisierung, sowie
  • Folgeabschätzungen (Art. 35 EU-DSGVO).

 

Durch vorhandene Funktionen und Auswertungen (wie bspw. die grundlegende Kontextualisierung von Informationen, Maßnahmen-Monitoring oder Risikoauswertungen) sowie durch eine einfache Methode und ein intuitives Werkzeug kann die BOC Group Sie und Ihr Unternehmen darin hervorragend unterstützen.

Schwerpunkt: Verzeichnis der Verarbeitungstätigkeiten

Im Fokus der vorliegenden Ausführung steht das verpflichtende Verzeichnis von Verarbeitungstätigkeiten: Die Dokumentationspflicht betrifft dabei den Verantwortlichen und den Auftragsverarbeiter. Inhalt dieses Verzeichnisses sind die wesentlichen Informationen zu Datenverarbeitungstätigkeiten, insbesondere Angaben zum Zweck der Verarbeitung, eine Beschreibung der Kategorien der personenbezogenen Daten sowie eine Beschreibung der betroffenen Personen und der Empfänger. Dieses Verzeichnis muss u.a. folgende Angaben enthalten:

 

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
  • die Zwecke der Verarbeitung,
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen,
  • gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation,
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien sowie
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

 

Die folgende Abbildung zeigt einen möglichen Aufbau, Struktur
und Inhalt eines Verzeichnisses für Verarbeitungstätigkeiten:

Produkterweiterungen in ADONIS und ADOIT

Sowohl für unsere Geschäftsprozessmanagement-Suite ADONIS, als auch für unser Unternehmensarchitekturmanagement-Tool ADOIT haben wir Produkterweiterungen zur EU-DSGVO entwickelt. Damit ist für Bestandskunden eine einfache Erweiterung Ihrer Dokumentation und Auswertung möglich, während neue Interessenten auch gezielt die Anforderungen der Datenschutzgrundverordnung adressieren können.

 

  • Aus Sicht der prozessgetriebenen DSGVO-Dokumentation unterstützt Sie ADONIS bei der Detaillierung des Verarbeitungsverzeichnisses. Startpunkt sind die Prozesslandkarte und die beschriebenen Prozessabläufe. Von ihnen ausgehend werden die Verarbeitungstätigkeiten beschrieben und die relevanten Datenkategorien identifiziert.
  • Verfolgen Sie einen IT-getriebenen Ansatz, so kann Sie ADOIT dabei unterstützen vor allem aus Sicht Ihrer Anwendungslandkarte die Verarbeitungstätigkeiten zu erfassen und ihnen wiederum die zugehörigen Artefakte zuzuordnen.

 

Um diese beiden Ansätze zu ermöglichen, ergänzen wir unsere Produkte mit einem neuen Artefakt, der Verarbeitungstätigkeit. Die folgende Abbildung zeigt die Einbettung des Artefakts in das Metamodell von ADOIT. In ähnlicher Weise erfolgt die Erweiterung des Metamodells in ADONIS.

Vorgehensmodell zur Erfassung, Vorbereitung und Auswertung

Ergänzt wird diese Erweiterung Ihrer Dokumentation durch ein passendes, effizient geschnittenes Vorgehensmodell. Im Zentrum steht dabei die entsprechende Verarbeitungstätigkeit (z. B. Anlegen eines Neukunden im Zuge der Versicherungsantragsbearbeitung). Nachfolgend ist das Vorgehensmodell exemplarisch für den IT-getriebenen Ansatz in ADOIT skizziert:

1

Daten kategorisieren und zuordnen

 

Mittels Geschäftsobjekten bzw. Entitäten werden die relevanten Daten kategorisiert (personenbezogene und sensible Daten) und dokumentiert. Über die Repositories von ADOIT bzw. ADONIS können hier schon entsprechende vordefinierte Schemata wiederverwendet werden.

2

Anwendungen katalogisieren und zuordnen

 

Anschließend werden die datenverarbeitenden Applikationen erfasst oder aktualisiert. In vielen Fällen erfolgt das ausgehend von einer bestehenden Anwendungslandschaft.

3

Prozesse zuordnen

 

Im nächsten Schritt werden die Prozesse zugeordnet und identifiziert. Diese stellen meist den Zweck der Verarbeitung dar.

4

Betroffene Personen und Empfänger identifizieren und zuordnen

 

Die relevanten Empfänger der Daten werden als Organisationseinheiten bzw. externe Akteure (z. B. Cloud Provider) katalogisiert und betroffene Personen identifiziert und im Repository von ADONIS bzw. ADOIT beschrieben.

5

Risiken und Kontrollen identifizieren und zuordnen

 

Im letzten Schritt können die relevanten Risiken erfasst und zugeordnet werden. Die Ersterfassung und Zuordnung dient als Basis für die Risikofolgeabschätzung.

Diese strukturierte Informationserfassung erlaubt dann die Erstellung der notwendigen Reports und Auswertungen. Die BOC Group verfügt dazu über spezifische Musterreports und -auswertungen, die im Erweiterungsmodul enthalten sind. Die folgende Abbildung zeigt ein paar Beispiele der Reports und Auswertungen des Add-On Moduls in ADOIT für die EU-DSGVO:

 

 

Haben wir Ihr Interesse geweckt?


Unser Angebot an Sie!

Die erfolgreiche Umsetzung der Vorgaben der EU-DSGVO stellen Sie nicht nur vor umfassende Herausforderung in der Dokumentation, sondern auch in der Erbringung der Nachweise und der nachhaltigen Aktualisierung. ADONIS und ADOIT bieten Ihnen bewährte Mechanismen, um hierbei wesentlich an Aufwand zu sparen und die Risiken inkonsistenter Managementsysteme zu vermeiden. Mit den Add-On-Modulen zu ADONIS bzw. ADOIT, Trainings und Workshops durch unsere erfahrenen Berater sowie erweitertes Coaching rüsten Sie sich rechtzeitig! Melden Sie sich noch heute bei uns und vereinbaren Sie ein unverbindliches Gespräch!

Kontakt aufnehmen

?

FRAGEN?

Gerhard Schweng

T +43-1-905 10 81-0
F +43-1-905 10 81-2007
E info@boc-at.com