General Data Protection Regulation (GDPR)

Compliance schnell und pragmatisch

 

Mit der Veröffentlichung der finalen Version von GDPR (General Data Protection Regulation oder in Deutschland DS-GVO - EU-Datenschutz-Grundverordnung) hat die Europäische Union nach langandauernden politischen Debatten ein rechtlich bindendes, einheitliches Regelwerk zum Schutz personenbezogener Daten und gegen Datenmissbrauch geschaffen. Dieses gilt für alle Unternehmen, die innerhalb der europäischen Union agieren, sowohl multinationale Konzerne als auch mittelständische Unternehmen ab dem 25. Mai 2018. Es wird somit höchste Zeit, die notwendigen Maßnahmen zu ergreifen, um bis zu diesem Datum GDPR-Compliance zu erreichen.

 

Neue Bestimmungen

 

Mit GDPR treten eine Vielzahl neuer Bestimmungen in Kraft. Nachfolgend finden Sie eine Zusammenfassung einiger der wichtigsten Neuregelungen:

 

  • Bußgelder: Verstöße gegen die GDPR-Richtlinien können zu erheblichem Schaden für das betroffene Unternehmen führen, sowohl in Bezug auf die Reputation und die öffentliche Meinung als auch wirtschaftlich durch die festgelegten drakonischen Höchststrafen. Im Maximalfall sieht GDPR Strafzahlungen von bis zu 20 Mio. € oder 4% des weltweiten Jahresumsatzes des Unternehmens vor, z.B. bei mangelhaften Prozessen zur Einholung des Einverständnisses zur Datenverarbeitung oder bei gravierenden Verstößen gegen Privacy by Design-Prinzipien.
  • Meldung: Datenschutzverletzungen müssen binnen 72 Stunden nach Kenntnis gemeldet werden; dies sowohl der zuständigen Datenschutzbehörde als auch den potenziell Betroffenen bei einem hohen Risiko für der Privatsphäre.
  • Rechte der Betroffenen: Schaffung neuer Rechte zur Datenlöschung und Datenübertragbarkeit.
  • Datenverarbeitung: Unternehmen sind verpflichtet „angemessene technische und organisatorische Maßnahmen“ zum Schutz persönlicher Daten zu treffen. Diese Maßnahmen müssen konstant überprüft und aktualisiert werden.
  • Datenschutz-Folgenabschätzung: Unternehmen sind zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet falls es wahrscheinlich erscheint, dass die Verarbeitung hohe Risiken für die Privatsphäre zur Folge hat.
  • Privacy by Design: "Der Auftraggeber muss geeignete technische und organisatorische Maßnahmen durchführen, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen." Artikel 23 fordert, dass die Steuerpflichtigen nur die für die Erfüllung ihrer Aufgaben unbedingt notwendigen Daten halten und verarbeiten (Datenminimierung) sowie die Begrenzung des Zugangs zu personenbezogenen Daten an diejenigen, die die Verarbeitung ausführen müssen.
  • Dokumentationspflicht nach Art. 30 DS-GVO / GDPR: Verantwortliche sind grundsätzlich gehalten, schriftlich oder elektronisch (Abs. 3) Verzeichnisse anzulegen und zu führen, in welchen sämtliche der nachstehenden Angaben aufgeführt werden: Namen und die Kontaktdaten des Verantwortlichen [...], die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen, gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien, wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien sowie wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
  • Zusätzlich bleiben zahlreiche der bereits bestehenden Regelungen in ähnlicher oder ergänzter Form bestehen.

 

Maßnahmenkatalog

 

Diese Anforderungen stellen Management, Fachabteilungen sowie IT-Organisationen vor enorme Herausforderungen. Einerseits sind immer komplexer werdende IT-Landschaften mit heterogenen Systemen und einer steigenden Anzahl von Schnittstellen wenig transparent und somit hinsichtlich der Datenverarbeitung häufig eine Grauzone. Andererseits mangelt es Unternehmen nicht selten am juristischen Sachverstand, um Datenschutzgesetze in IT-Anforderungen übersetzen zu können.

CTI unterstützt Sie gemeinsam mit einem juristischen Sachverständigen bei der Erstellung eines maßgeschneiderten Katalogs der zu dokumentierenden Informationen und der zu ergreifenden Maßnahmen. Dabei orientieren wir uns an folgender Checkliste:

 

Architekturmanagement als professionelle Basis

 

Mit unserem bewährten Architektur-Know-how unterstützen wir Sie bei der Dokumentation und Analyse Ihres Applikationsportfolios, der Verarbeitung von Daten durch Applikationen und in Geschäftsprozessen und den Austausch von Daten zwischen Applikationen sowie mit Dritten über Schnittstellen.

Zur Beschleunigung der Datenerfassung greifen wir auf Instrumente wie den CTI Landscape Analyzer for SAP zurück, womit auf Knopfdruck ganze SAP-Landschaften samt Schnittstellen (RFC, ALE, SAP PI/PO), Datenaustauschbeziehungen sowie die funktionale Modulnutzung ausgelesen werden können. So werden die GDPR-relevanten SAP-Systeme ohne aufwändige Interviews transparent. Die non-SAP-Landschaft kann ergänzend über webbasierte Fragebögen oder im Rahmen von Workshops erhoben werden. Damit wird die Erhebung der GDPR-relevanten Architekturdaten präzise, valide und der Aufwand um ein Vielfaches reduziert.

Über die Ist-Aufnahme hinaus entwickeln wir gemeinsam mit Ihnen eine Roadmap zur Beseitigung von Schwachstellen und Risiken in der aktuellen Ist-Bebauung. Gern beraten wir Sie zum Beispiel bei der Etablierung eines zentralen Datenmanagements im Unternehmen.

Weiterhin profitieren Sie von unserem praxiserprobten SAP-Wissen, z.B. bei der Nutzung von Middleware-Systemen (z.B. SAP PI/PO) oder bei der Einführung digitaler Aktenlösungen (z.B. digitale Personalakte).

 

Kontakt          News          Standort         Impressum          Datenschutz            Blog

ENGLISH

DEUTSCH