Schritt für Schritt DSGVO-fit | Rahmenwerk

LinkedInXingPocketWhatsAppFlipboard

Die EU-weite Datenschutz-Grundverordnung (EU-DSGVO) kann sehr komplex und undurchsichtig sein. IBM Security hat nun ein Fünf-Phasen-Rahmenwerk entworfen, um Unternehmen die Umsetzung der ab Mai 2018 verbindlichen Verordnung zu erleichtern.

Genau 261 Seiten umfasst die EU-Datenschutz-Grundverordnung (EU-DSGVO), die für eine Vereinheitlichung des Datenschutzrechts innerhalb Europas sorgen soll. Doch ungefähr genauso viele Fragen wirft sie auf. Denn während die Verordnung viel darüber aussagt, was zu tun ist, schweigt sie dazu, wie die Regeln umgesetzt werden können.

Anzeige

IBM Security hat deshalb in der vergangenen Zeit daran gearbeitet, eine Hilfeleistung zu kreieren, die Unternehmen die Vorbereitung auf die kommende DSGVO erleichtert. Statt auf komplizierte, mehrdimensionale Matrizen oder Diagramme zurückzugreifen, wurde ein einfaches Rahmenwerk zusammengestellt.

Schritt für Schritt DSGVO-fit

Jede Reise beginnt mit dem ersten Schritt und so hat auch IBM Security für die Reise zur DSGVO-Expertise fünf einzelne Schritte extrahiert, die Unternehmen gehen sollten. So können Unternehmen, die sich bereits auf den Weg gemacht haben, einzelne Schritte überspringen, während andere anhand des Fünf-Phasen-Rahmenwerks Schritt für Schritt durch die Richtlinien geleitet werden. Genauso trägt das Rahmenwerk dem Umstand Rechnung, dass jedes Unternehmen im Laufe des Prozesses eigene Bedürfnisse haben wird. Deshalb ist es so einfach und rudimentär wie möglich gestaltet.

Angelehnt an die Inhaltsschwerpunkte der DSGVO sind die fünf Schritte innerhalb des Rahmenwerks jeweils in die Bereiche Datenschutz und Sicherheit untergliedert. Da beide Bereiche eng miteinander verwoben sind, hat IBM Security für uns folgende Bereichs-Definitionen gewählt: Im Bereich Datenschutz dreht sich alles darum welche Daten gesammelt werden und wieso sie verwaltet, geteilt, aufbereitet und herumbewegt werden. Der Bereich Sicherheit dagegen beschäftigt sich viel mehr mit der Frage wie die Daten kontrolliert und geschützt werden können. Das bedeutet auch: innerhalb eines Unternehmens kann Sicherheit erreicht werden, ohne Datenschutz zu gewährleisten, aber es kann kein Datenschutz gewährleistet werden, ohne Sicherheitsstandards einzuhalten.

Das Fünf-Phasen-Rahmenwerk zur DSGVO

Der Ansatz für eine grundlegende DSGVO-Expertise in fünf Schritten sieht folgendermaßen aus:

  • In Phase 1 beurteilt das Unternehmen den Status-Quo. Es muss untersucht werden, welche der gesammelten und gespeicherten Daten, von den DSGVO-Richtlinien betroffen sind. Im Anschluss wird ein Plan aufgestellt, um diese Daten aufzudecken.
     
  • In Phase 2 geht es darum, dass das Unternehmen einen eigenen Ansatz entwickelt, einen soliden Plan, der das Sammeln, die Nutzung und die Speicherung der Daten regelt. Auf diesen Ansatz fußt die Architektur und Strategie, anhand derer Risiken und Unternehmensziele ausgelotet werden.
     
  • Innerhalb der Phase 3 werden die Gewohnheiten des Unternehmens überdacht. Es geht darum zu verstehen, dass die bisher gesammelten Daten für die Menschen, von denen sie stammen, genauso wertvoll sind wie für das Unternehmen. An diesem Punkt müssen also nachhaltige Datenschutzrichtlinien ausgearbeitet werden. Genauso geht es aber auch darum, Sicherheitskontrollen und Verwaltungskontrollen (auch: TOM – Technical and Organizational Measures) einzuführen und einen Data Protection Officer zu ernennen.
     
  • Unternehmen in Phase 4 sind bereit, ihren Datenschutz-Ansatz umzusetzen. Datenströme werden ab dieser Phase kontinuierlich geprüft und der Zugang zu Daten wird überwacht. Außerdem werden Sicherheitstests durchgeführt und unwichtige Daten gelöscht.
     
  • In der finalen Phase 5 ist das Unternehmen dann bereit, die DSGVO-Richtlinien einzuhalten. Ab diesem Zeitpunkt werden alle Anforderungen an Zugriff, Korrektur, Löschung und Übertragung von Daten erfüllt. Außerdem ist das Unternehmen durch die Dokumentation aller Aktivitäten auf mögliche Betriebsprüfungen vorbereitet und kann im Fall einer Datenpanne Regulatoren und Betroffene informieren.

Das ist der direkte Ansatz von IBM Security, um Unternehmen DSGVO-fit zu machen. Der Weg dorthin ist womöglich nicht immer einfach, aber das Rahmenwerk soll ihn zumindest klarer aufzeigen.

Anmerkung: Unternehmen sind selbst verantwortlich für die Beachtung der geltenden Vorschriften und Gesetze, die EU-DSGVO mit inbegriffen. IBM stellt keinen gesetzlichen Rat zur Verfügung und gewährleistet nicht, dass Unternehmen durch Services oder Produkte der IBM geltende Gesetze oder Regulierungen erfüllt.

Über die Autorin: Cindy Compert ist Chief Technical Officer Data Security and Privacy bei IBM. Als technische Visionärin ist sie darauf bedacht, die Gesundheit, Sicherheit und das Wohlergehen anderer zu fördern. Sie ist der Überzeugung, dass Datensicherheit und Datenschutz entscheidend zum Erfolg digitaler und kognitiver Unternehmen beitragen.

www.ibm.com/de
 


Anzeige

Weitere Artikel

Datenschutz & GRC
AI Act: KI-Managementsystem nach ISO 42001 zu empfehlen
Datenschutz & GRC
Verantwortlichkeit für die Umsetzung des Datenschutzes
Datenschutz & GRC
DSGVO-konforme Datenlöschung – So geht’s!
Datenschutz & GRC
Tipps und Best Practices zum World Backup Day 2024
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.