Die Europäische Datenschutzgrundverordnung (EU-DSGVO; englisch: EU GDPR) wurde im Europäischen Parlament im Mai 2016 beschlossen. Als Umsetzungsfrist wurden zwei Jahre festgelegt – somit tritt diese Verordnung Ende Mai 2018 in Kraft. Sie regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen einheitlich für die gesamte Europäische Union und gilt unmittelbar in allen Mitgliedstaaten, ohne in nationales Recht umgesetzt werden zu müssen.
Obwohl einige Detailfragen noch nicht zur Gänze geklärt sind, stehen schon folgende wesentlichen Änderungen gegenüber bestehender gesetzlicher Regelungen fest:
Aufgrund dieser und ähnlicher Änderungen sind Unternehmen bis zum Inkrafttreten der EU-DSGVO gefordert, Maßnahmen zu ergreifen, um die Einhaltung der Grundverordnung sicherstellen zu können.
Aus diesem Grund haben wir Möglichkeiten erarbeitet, wie Sie verschiedene Aspekte der DSGVO mit Hilfe von ADONIS oder ADOIT einfach und unkompliziert erfüllen und nachweisen können.
Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) mit ADONIS
Umsetzung der EU-Datenschutzgrundverordnung(DSGVO) mit ADOIT
Haben wir Ihr Interesse geweckt?
Nehmen Sie noch heute Kontakt mit uns auf und informieren Sie sich über das Add-On-Modul zu ADONIS oder ADOIT
Aus Gesichtspunkten der elektronischen Datenverarbeitung stehen folgende Aspekte von Daten und deren Verarbeitung im Vordergrund der EU-Datenschutzgrundverordnung:
Im Zuge dieser Verarbeitung unterschiedlicher Datenarten wird darüber hinaus in die folgenden Akteure unterschieden:
Wesentliche Aufgaben, die auf datenverarbeitende Unternehmen zukommen, umfassen beispielsweise die nachfolgenden:
Durch vorhandene Funktionen und Auswertungen (wie bspw. die grundlegende Kontextualisierung von Informationen, Maßnahmen-Monitoring oder Risikoauswertungen) sowie durch eine einfache Methode und ein intuitives Werkzeug kann die BOC Group Sie und Ihr Unternehmen darin hervorragend unterstützen.
Im Fokus der vorliegenden Ausführung steht das verpflichtende Verzeichnis von Verarbeitungstätigkeiten: Die Dokumentationspflicht betrifft dabei den Verantwortlichen und den Auftragsverarbeiter. Inhalt dieses Verzeichnisses sind die wesentlichen Informationen zu Datenverarbeitungstätigkeiten, insbesondere Angaben zum Zweck der Verarbeitung, eine Beschreibung der Kategorien der personenbezogenen Daten sowie eine Beschreibung der betroffenen Personen und der Empfänger. Dieses Verzeichnis muss u.a. folgende Angaben enthalten:
Sowohl für unsere Geschäftsprozessmanagement-Suite ADONIS, als auch für unser Unternehmensarchitekturmanagement-Tool ADOIT haben wir Produkterweiterungen zur EU-DSGVO entwickelt. Damit ist für Bestandskunden eine einfache Erweiterung Ihrer Dokumentation und Auswertung möglich, während neue Interessenten auch gezielt die Anforderungen der Datenschutzgrundverordnung adressieren können.
Um diese beiden Ansätze zu ermöglichen, ergänzen wir unsere Produkte mit einem neuen Artefakt, der Verarbeitungstätigkeit. Die folgende Abbildung zeigt die Einbettung des Artefakts in das Metamodell von ADOIT. In ähnlicher Weise erfolgt die Erweiterung des Metamodells in ADONIS.
Ergänzt wird diese Erweiterung Ihrer Dokumentation durch ein passendes, effizient geschnittenes Vorgehensmodell. Im Zentrum steht dabei die entsprechende Verarbeitungstätigkeit (z. B. Anlegen eines Neukunden im Zuge der Versicherungsantragsbearbeitung). Nachfolgend ist das Vorgehensmodell exemplarisch für den IT-getriebenen Ansatz in ADOIT skizziert:
Mittels Geschäftsobjekten bzw. Entitäten werden die relevanten Daten kategorisiert (personenbezogene und sensible Daten) und dokumentiert. Über die Repositories von ADOIT bzw. ADONIS können hier schon entsprechende vordefinierte Schemata wiederverwendet werden.
Für jedes Geschäftsobjekt oder jede Entität werden auf Basis der Datenkategorien die betroffenen Personentypen identifiziert und als Rollen bzw. externe Akteure im Repository von ADONIS bzw. ADOIT beschrieben.
Im nächsten Schritt werden nun die datenverarbeitenden Applikationen erfasst oder aktualisiert. In vielen Fällen erfolgt das ausgehend von einer bestehenden Anwendungslandschaft.
Die Verarbeitungstätigkeit gilt als zentraler Dreh- und Angelpunkt, um alle diese Informationen miteinander zu verknüpfen. Verarbeitungstätigkeiten werden erfasst und mit den Geschäftsobjekten oder Entitäten, die sie betreffen, verknüpft. Ihnen werden die betroffenen Personen als Rollen oder Akteure hinterlegt, und die verarbeitenden Applikationen und Prozesse (auf Landkarten- oder Detailebene) zugeordnet.
Die relevanten Empfänger der Daten werden als Organisationseinheiten bzw. externe Akteure (z. B. Cloud Provider) katalogisiert und den Verarbeitungstätigkeiten zugeordnet.
Nach erfolgter Analyse der Stammdaten der Verarbeitungstätigkeiten können Sie nun die relevanten Risiken erfassen und zuordnen, sowie eine initiale Risikobewertung in Bezug auf Wahrscheinlichkeit und Schadenshöhe im Eintrittsfall durchführen. Notwendige Kontrollen können auch integriert dokumentiert werden. Diese Ersterfassung und Zuordnung dient als Basis für die Risikofolgeabschätzung. Die Risikozuordnung und -bewertung muss in zu bestimmenden Intervallen aktualisiert werden.
Diese strukturierte Informationserfassung erlaubt dann die Erstellung der notwendigen Reports und Auswertungen. Die BOC Group verfügt dazu über spezifische Musterreports und -auswertungen, die im Erweiterungsmodul enthalten sind. Die folgende Abbildung zeigt ein paar Beispiele der Reports und Auswertungen des Add-On Moduls in ADOIT für die EU-DSGVO:
Die erfolgreiche Umsetzung der Vorgaben der EU-DSGVO stellen Sie nicht nur vor umfassende Herausforderung in der Dokumentation, sondern auch in der Erbringung der Nachweise und der nachhaltigen Aktualisierung. ADONIS und ADOIT bieten Ihnen bewährte Mechanismen, um hierbei wesentlich an Aufwand zu sparen und die Risiken inkonsistenter Managementsysteme zu vermeiden. Mit den Add-On-Modulen zu ADONIS bzw. ADOIT, Trainings und Workshops durch unsere erfahrenen Berater sowie erweitertes Coaching rüsten Sie sich rechtzeitig! Melden Sie sich noch heute bei uns und vereinbaren Sie ein unverbindliches Gespräch!
?
FRAGEN?