In unserem letzten Beitrag haben wir bereits über das bevorstehende Inkrafttreten der EU-Verordnung 2016/679 zum Datenschutz Ende Mai 2018 gesprochen.
Wir haben festgestellt, dass Enterprise Architecture Management (EAM)-Tools ein natürlicher Ausgangspunkt für die Erfassung und Verwaltung der Daten sind, die für die Einhaltung der GDPR erforderlich sind.
Um diesen Ausgangspunkt richtig zu nutzen, haben wir einen dreistufigen Ansatz erwähnt. Heute möchten wir diese drei Schritte etwas ausführlicher beschreiben.
Schritt 1 – Informieren
Zunächst einmal ist es notwendig, die GDPR-Verordnung und ihre Anforderungen sowohl aus rechtlicher als auch aus IT-Sicht kennenzulernen. Dies kann in einem eintägigen Workshop geschehen.
Ein solcher “GDPR Briefing”-Workshop sollte mindestens die folgenden Punkte auf der Tagesordnung haben:
- Einführung in das Thema GDPR in einer ganzheitlichen Weise
- Rechtliche Perspektive
- Organisatorische Perspektive
- IT-Perspektive
- Erörterung des Handlungsbedarfs für das Unternehmen und Identifizierung von Schwerpunkten
- Ableitung erster Top-Level-Empfehlungen für die Umsetzung der GDPR-Compliance
Wir bieten diese GDPR-Briefing-Workshops in Zusammenarbeit mit Juristen an.
Schritt 2 – Definieren
Im nächsten Schritt sollten die verschiedenen Perspektiven der GDPR genauer betrachtet werden. Neben der Änderung von Verträgen oder Endbenutzer-Lizenzvereinbarungen aus rechtlicher Sicht oder der Installation neuer Rollen (z.B. eines Datenschutzbeauftragten) und der notwendigen Überarbeitung von (insbesondere) Endbenutzer-Geschäftsprozessen muss auch die Bereitschaft der bestehenden IT-Landschaft für GDPR überprüft werden:
- Analyse der IT-Landschaft im Hinblick auf GDPR (insbesondere Artikel 30)
- Bewertung der GDPR Readiness aus Sicht der IT
- Empfehlungen für die Umsetzung der GDPR mit Fokus auf die IT
Diese “GDPR Readiness Checks” werden in der Regel in Kurzzeitprojekten durchgeführt und dienen der Vorbereitung des letzten Schrittes.
Schritt 3 – Umsetzen
Schließlich müssen die Empfehlungen und definierten Maßnahmen umgesetzt werden. Dies sollte auf einem Projektplan basieren, der aus einem “GDPR Readiness Check” abgeleitet wurde und folgende Punkte umfasst:
- Einrichten und Erweitern des EAM-Tools für den GDPR-Anwendungsfall
- Importieren der erforderlichen Daten
- Anwendungen und wie sie Geschäftsdaten verarbeiten
- Server, auf denen die Anwendungen bereitgestellt werden, und ihr physischer Standort
- Wie Anwendungen Geschäftsfunktionen und Organisationseinheiten unterstützen
- Automatisierte Aktualisierungen für diese Daten im EAM-Tool
- Benennen Sie Verantwortlichkeiten und binden Sie das EAM-Tool in die Prozesse zur Einhaltung der GDPR ein
- Schulung der GDPR-Verantwortlichen
Wenn es um die Einrichtung eines EAM-Tools als “goldene Quelle” für die GDPR-Compliance geht, gibt es immer einen Grund, der schnelle Ergebnisse verhindert – die Menge der zu sammelnden Daten über die bestehende IT-Landschaft.
Für diese Hürde bieten wir verschiedene “Abhilfen” an, die einen bestimmten Teil der IT-Landschaft automatisch auslesen und in EAM-Tools sichtbar – und damit GDPR-konform – machen:
- Landscape Analzer für SAP: Dieses Tool liest die Basisdaten ganzer ABAP-basierter SAP-Landschaften (Systeme, Mandanten, Schnittstellen) aus. Wir arbeiten derzeit an einer Erweiterung, um auch Schnittstellen zwischen SAP-Systemen und Nicht-SAP-Systemen über SAP PI zu erfassen.
- AWS-Integration: Server, die als virtuelle Maschinen in der Amazon Cloud (Elastic Cloud Compute [EC2] Service der Amazon Web Services) laufen, können über dieses Tool ausgelesen und automatisch in ein EAM-Tool importiert werden.