261 Seiten umfasst die EU-weite Datenschutz-Grundverordnung (EU-DSGVO) und genauso viele Fragen wirft sie auf. IBM Security hat deshalb ein Fünf-Phasen-Rahmenwerk entworfen, um Unternehmen die Umsetzung der ab Mai 2018 verbindlichen Verordnung zur Vereinheitlichung des EU-Datenschutzrechts zu erleichtern.
ERP-Tipp von IBM Security: In fünf Phasen DSGVO-fit
EU-Verordnungen sind nicht gerade leicht zu lesen und zu befolgen – erst recht nicht, wenn es um heikle Themen wie den Umgang mit Big Data geht. Um Unternehmen die Auseinandersetzung mit dem DSGVO-Regelwerk zu erleichtern, haben IBM Security Experten fünf Phasen identifiziert, die Unternehmen durchlaufen müssen, bis sie DSGVO-fit sind.
Angelehnt an die Inhaltsschwerpunkte der DSGVO sind die Phasen jeweils in die Bereiche Datenschutz und Sicherheitsanforderungen unterteilt. Unser Ansatz für eine grundlegende DSGVO-Expertise in fünf Phasen sieht folgendermaßen aus:
Phase 1: Beurteilung des Status-Quo
Hier geht es um die Frage, welche der gesammelten und gespeicherten Daten überhaupt von den DSGVO-Richtlinien betroffen sind und wie man sie erfassen kann?
Phase 2: Entwicklung eines Plans zum Umgang mit Daten
Wie werden Daten im Unternehmen gesammelt, genutzt und gespeichert?
In einem strategischen Ansatz empfiehlt es sich, in dieser Phase Risiken und Unternehmensziele auszuloten.
Phase 3: Gewohnheiten im Umgang mit Daten überdenken
Innerhalb des Unternehmens muss klar werden, dass Daten für die Urheber genauso wichtig sind wie für das Unternehmen insgesamt. Deshalb ist es ratsam, Datenschutzrichtlinien sowie Sicherheits- und Verwaltungskontrollen (auch: TOM – Technical and Organizational Measures) einzuführen und gegebenenfalls einen Data Protection Officer zu ernennen.
Phase 4: Umsetzung des in Phase 2 entworfenen Datenschutz-Plans
Sobald der Datenschutz-Plan umgesetzt ist, werden Datenströme kontinuierlich geprüft und der Daten-Zugang überwacht, außerdem Sicherheitstests durchgeführt und unwichtige Daten gelöscht.
Phase 5: Vollständige Einhaltung der DSGVO-Richtlinien
Ab diesem Zeitpunkt werden alle DSGVO-Anforderungen erfüllt. Darüber hinaus ist das Unternehmen durch die Dokumentation aller Aktivitäten auf mögliche Betriebsprüfungen vorbereitet. Im Fall einer Datenpanne kann es Regulatoren und Betroffene informieren.
Mit diesem Fünf-Phasen-Plan wollen wir Unternehmen dabei unterstützen, rechtzeitig DSGVO-fit zu werden. Der Weg dorthin ist individuell unterschiedlich, aber ein solches Rahmenwerk kann helfen, alle notwendigen Schritte im Auge zu behalten.
Anmerkung: Unternehmen sind selbst verantwortlich für die Beachtung der geltenden Vorschriften und Gesetze, die EU-DSGVO mit inbegriffen. IBM Security gibt keine Rechtsauskunft oder übernimmt die Gewährleistung dafür, dass Unternehmen mit der Inanspruchnahme von Services oder Produkten der IBM geltende Gesetze oder Regulierungen erfüllen.