Dr. Leonhardt Wohlschlager

Dr. Leonhardt Wohlschlager

Executive Consultant

Konform mit der Datenschutz-Grundverordnung (DSGVO)

Unternehmen müssen mittlerweile mit hohen Strafen rechnen, wenn sie nicht datenschutzkonform agieren. Erst kürzlich wurde Google eine Strafe von 50 Millionen Euro auferlegt, weil die Services des Internet-Unternehmens nicht konform mit der Datenschutz-Grundverordnung (DSGVO) waren. Wer jetzt denkt, das kann allein einem so innovativen, vollständig digital operierendem Unternehmen wie Google passieren, irrt gewaltig: Die DSGVO gilt ausnahmslos für alle Unternehmen. CGI hat fünf einfache Schritte entwickelt, mit denen Unternehmen DSGVO-konform werden und bleiben, sodass sie vor Abmahnungen und Strafen geschützt sind.

Bei vielen Unternehmen herrscht trügerische Sicherheit

Viele Organisationen berufen sich darauf, dass sie den Datenschutz schon immer sehr ernst genommen haben und ihr Unternehmen zahlreiche Anforderungen bereits vor Einführung der DSGVO erfüllt hatte, zum Beispiel das Prinzip der Datenminimierung. Es besagt, dass personenbezogene Angaben wirklich nur für den jeweiligen Zweck erhoben und verarbeitet werden. Wie aber sieht es mit den Daten aus, die schon lange ungelöscht in Anwendungssystemen gespeichert sind und über die kaum noch jemand einen Überblick hat? Wie begegnen Sie beispielsweise der Forderung, für besonders kritische Daten Maßnahmen zur Risikominimierung zu treffen, wenn die Daten unlöschbar in Ihren Systemen „schlummern“? Eine mögliche Schlussfolgerung könnte sein, nicht zu digitalisieren. Allerdings ist das nicht wirklich eine Option, wenn Unternehmen wettbewerbs- und zukunftsfähig bleiben möchten.

Für viele Unternehmen besteht akuter Handlungsbedarf, denn sie wissen: Wenn sie trotz Einführung der Datenschutz-Grundverordnung genauso handeln wie bisher, erzeugen sie immer wieder dieselben Risiken wie bisher. Die Wahrscheinlichkeit von realen Datenschutzverletzungen erhöht sich dadurch. In diesem Zusammenhang stellt sich für Unternehmen eine ganze Reihe von grundlegenden Fragen, wie zum Beispiel:

  • Wie managen wir unsere Datenschutzrisiken?

  • Sind sie Bestandteil unseres übergeordneten Risikomanagementprogramms?

  • Wo können wir aufgrund eines höheren Schutzniveaus geschäftliche Werte erzeugen?

  • Wie reagieren wir, wenn Kunden die Herausgabe oder Löschung ihrer Daten verlangen?

  • Wie können wir Kunden dafür gewinnen, Datenpannen frühzeitig zu melden?

  • Wie reagieren wir auf Datenpannen?

  • Wie werden wir digital ohne Imageschäden und Strafen?           

Um bei der Beantwortung dieser Fragen zu unterstützen, hat CGI einen Rahmen entwickelt, der es Unternehmen ermöglicht, die Anforderungen der DSGVO vollständig umzusetzen. Er gliedert sich in fünf Schritte:

Schritt 1: Evaluation des Stellenwertes von Datenschutz im Unternehmen

Zu Beginn stellt sich die eher strategische Frage, wie Sie DSGVO-Konformität in Ihre Zielsysteme und Ihren Business-Plan einordnen wollen. Hieraus leiten sich Ziel und Risikobereitschaft ab. Gleichzeitig stellt sich die grundsätzliche Frage, welchen geschäftlichen Wert oder gar Wettbewerbsvorteil DSGVO-Konformität für Ihr Unternehmen hat. Dabei wird in der Regel sehr schnell klar, in welchen Bereichen die Datenschutzlücken (Gaps) gefühlt am größten sind. Für manche Organisationen bestehen sie darin, Daten ohne großen Aufwand löschen zu können, wenn sehr sensible Kunden dies verlangen. Andere Firmen, die beispielsweise digital tätig sind, haben dagegen eher Schwierigkeiten, die Einwilligungen ihrer Kunden zentral über alle Vertriebs- und Kommunikationskanäle managen zu können.

Der grundsätzlichen Planung, welche Bereiche zu untersuchen und wo voraussichtlich chirurgische oder ganzheitliche Eingriffe notwendig sind, folgt eine Gap-Analyse. Diese Evaluation umfasst das Erheben personenbezogener Daten und des Ist-Zustandes hinsichtlich DSGVO in den Bereichen Datenschutz, Prozesse, Personen, Daten, Sicherheit und Governance. Dabei sind unter anderem die aktuellen Verantwortlichkeiten für die personenbezogenen Daten zu ermitteln. Aus den Ergebnissen werden anschließend der Handlungsbedarf und die organisatorisch-technischen Maßnahmen abgeleitet.

Schritt 2: Standardisierung ist die Basis für nachhaltige DSGVO-Konformität

Da DSGVO-Konformität eine unternehmensweite Aufgabe ist, sind die Maßnahmen für alle Unternehmensbereiche als Standards oder Richtlinien zu definieren. So müssen beispielsweise die Einwilligungen der Kunden standardisiert über alle Vertriebs- und Kommunikationskanäle gemanagt werden. Andernfalls liegen Einwilligungen nicht durchgängig vor und damit besteht keine Konformität.

Diese Standards und Richtlinien sollten sich unbedingt auf alle relevanten Bereiche beziehen:

  • Governance

  • notwendige Schulungen

  • grundsätzliche Kommunikation

  • Prozesse

  • Datenschutz

  • Datenmanagement

  • Sicherheitsmanagement

In der Folge sind oft eine Umstrukturierung der Rechtsabteilung, personelle Veränderungen und die Neuordnung von Verantwortlichkeiten erforderlich. Im Zusammenhang mit der Standardisierung müssen Unternehmen zudem festlegen, ob die DSGVO-Konformität lediglich in einem dedizierten Projekt hergestellt werden soll oder Teil eines übergeordneten Compliance-Programms ist, in dem Regelwerk-übergreifende Anforderungen zu harmonisieren und umzusetzen sind. Eine Regelwerk-übergreifende Herausforderung ergibt sich besonders für international operierende Unternehmen, da sie mehrere nationale Regelungen zum Datenschutz beachten und umsetzen müssen.

Aus den Überlegungen ergeben sich standardmäßige Kontrollen, Prozesse und Lösungen für den Datenschutz. Um diese zu entwickeln und zu implementieren, muss ein definierter Maßnahmenplan erstellt werden. Dabei sind neben vorbeugenden auch korrektive Risikomanagementmaßnahmen einzuplanen.

Schritt 3: Implementierung setzt Prozesse datenschutzkonform auf

In dieser Phase sind die Werkzeuge zum Datenschutz und zur Sicherheit auszuwählen und zusammen mit den nötigen Verfahren und Prozessen zu implementieren. Zur Auswahl stehen unter anderem Alert Management, Artificial Intelligence (AI), biometrische Systeme, Data Governance, GRC-Tools, Integrated Risk Management (IRM), Melde- und Reporting-Tools, Private-Key-Infrastrukturen (PKI) oder auch zentrale Datenbanken. Welche Tools letztendlich zum Einsatz kommen, richtet sich vor allem nach dem Business-Plan, Unternehmensbereich und definierten Ziel.

Ebenfalls als Standards sind Privacy-by-Design- und Data-Governance-Richtlinien zu implementieren. So sollten Unternehmen beispielsweise bei Softwareeinführungen standardmäßig einen Satz zu den Privacy-by-Design-Anforderungen ins Pflichtenheft aufnehmen. Dadurch lässt sich schon im Design sicherstellen, dass die neue Software alle Datenschutzanforderungen erfüllt, z. B. das Feature adäquater, zeitlich getriggerter Löschprozeduren.

Ist die Implementierung abgeschlossen, sind alle Prozesse DSGVO-konform. Das umfasst im digitalen Business in jedem Fall auch die Bereitschaft, personenbezogene Daten laufend identifizieren und managen zu können (Data Governance).

Schritt 4: Im Betrieb die neuen Prozesse mit Leben füllen

Nachdem die Konformität mit der DSGVO erstmals unternehmensweit hergestellt ist, gilt es, die eingeführten Prozesse im Unternehmensalltag konsequent anzuwenden. Nur so können Datenschutz und Sicherheit laufend überwacht, präventive und korrektive Maßnahmen durchgeführt und definierte Standards eingehalten werden. Dabei sind unter anderem die Einwilligungsrechte und die sonstigen Rechte Betroffener effizient zu verwalten. Der Schwerpunkt liegt auf einem Rechtemanagement nach dem „Need-to-know“-Prinzip. Das heißt, es besteht eine Zugriffsbegrenzung für unberechtigte oder nur teilweise berechtigte Personen im gesamten Lebenszyklus der Daten, von der Erfassung bis zur Löschung. Um den Arbeitsaufwand für das Management von Störfällen (Privacy Alerts) möglichst gering zu halten, bedarf es einer effizienten, auf Informationstechnik basierten Unterstützung der Rechts- oder Compliance-Abteilung beziehungsweise einer entsprechend verlängerten Werkbank. Generell ist die Inbetriebnahme der DSGVO-konformen Prozesse in der Regel von Anfangswehen begleitet. Ein effektiver Early-Life-Support schafft hier schnell Abhilfe.

Schritt 5: Konformität langfristig sichern

Die letzte Phase ist die konforme Ausführung der Geschäftsprozesse, besonders die Einhaltung der technischen und organisatorischen Maßnahmen, dauerhaft zu sichern. Störfälle und die Abweichung von der Konformität mit der DSGVO sind an die entsprechende Datenschutzbehörde zu melden. Dabei sind die Prozesse vor allem mit Blick auf eine Absenkung des Arbeitsaufwandes in der Rechts-und Compliance-Abteilung kontinuierlich zu verbessern.

 

Fazit: DSGVO-Konformität ist für jedes Unternehmen eine erreichbare Anforderung

Mit den fünf von CGI entwickelten Schritten können Unternehmen ihre Prozesse so aufsetzen oder anpassen, dass sie den Anforderungen der DSGVO vollständig entsprechen und einen wirkungsvollen Schutz vor Abmahnungen sowie Strafen bieten. Die Sicherung einer nachhaltigen DSGVO-Konformität ist in ein übergeordnetes integriertes Management operationeller Risiken und in das Meldewesen einzubetten. So lassen sich getätigte Investitionen effektiv schützen sowie Rechts- und Compliance-Abteilungen effizient unterstützen.

CGI verfügt über die nötigen Kenntnisse, Fähigkeiten und Ressourcen, um Sie als Partner fundiert beraten und bei der Umsetzung unterstützen zu können. Das gilt für alle Belange rund um den Datenschutz und die DSGVO sowie für alle anstehenden digitalen Herausforderungen, Cloud-Projekte und der notwendigen Cyber Security. Im Whitepaper „Leitfaden zur Konformität mit der Datenschutz-Grundverordnung“ von CGI finden Sie fünf konkrete Konzepte, mit denen Unternehmen DSGVO-Konformität erzielen können. Das Whitepaper umfasst direkt anwendbare Lösungsempfehlungen, die Ihnen den Umgang mit der DSGVO maßgeblich erleichtern werden.

Zum Whitepaper

Über diesen Autor

Dr. Leonhardt Wohlschlager

Dr. Leonhardt Wohlschlager

Executive Consultant

Dr. Leonhardt Wohlschlager ist seit 2006 bei CGI als Executive Consultant für die Kunden der Versicherungsbranche tätig. Als Insurance Practice Lead der BU Germany West ist er für die IT-Strategie und Digitale Transformation in der Versicherungsbranche bei CGI mitverantwortlich. Erstmals 1998 führte ...