In einer Welt, in der viele Aspekte des Lebens von IT-Systemen unterstützt werden, die personenbezogene Daten verarbeiten, und in der viele Organisationen diese Systeme betreiben, wird der Datenschutz immer wichtiger.
Allgemeine Datenschutzverordnung (GDPR)
Mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates wird der Datenschutz zu einem wichtigen Thema für alle Organisationen, die innerhalb der Europäischen Union tätig sind. Das liegt daran, dass sowohl die Rechte einzelner Nutzer auf Informationen gegenüber Organisationen als auch die Pflichten von Organisationen zur Berichterstattung und Offenlegung erweitert wurden. Einige Beispiele:
- Einwilligung: Es gelten strengere Bedingungen dafür, wie die Zustimmung zur Verarbeitung personenbezogener Daten erteilt wird.
- Meldung von Verstößen: Verlust, Diebstahl oder unbefugter Zugriff auf personenbezogene Daten müssen gemeldet werden.
- Zugang für Betroffene: Betroffene können Auskunft darüber verlangen, ob ihre personenbezogenen Daten von einer Organisation verarbeitet werden, oder die Portierung ihrer Daten zu einem anderen Anbieter verlangen.
- Recht auf Vergessenwerden: Betroffene können die Löschung ihrer Daten verlangen oder die Verarbeitung ihrer Daten einschränken.
- Datenverwaltung: Es müssen Maßnahmen zur Gewährleistung der Data Governance ergriffen werden, z. B. Datenschutz-Folgenabschätzungen (PIA), Audits oder die Ernennung eines Datenschutzbeauftragten.
Die Nichtbeachtung der neuen Rechtsvorschriften kann zu schweren Strafen führen. GDPR Artikel 83 fordert bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes.
Um die Einhaltung der GDPR zu erreichen, müssen viele Informationen über alle Datenverarbeitungsaktivitäten und die verarbeiteten Daten gesammelt, analysiert und zugänglich gemacht werden. Es müssen jetzt Maßnahmen ergriffen werden, da die Verordnung am 25. Mai 2018 in Kraft tritt.
Enterprise Architecture Management unterstützt die Einhaltung der GDPR
Enterprise Architecture Management (EAM) ist der Teil des IT-Managements, der sich mit der Dokumentation der bestehenden IT-Landschaft, der Definition von Standards und der Planung der zukünftigen IT-Landschaft beschäftigt. Da für diese Aufgabe viele Metadaten über die IT einer Organisation gesammelt und gepflegt werden müssen, ist EAM in der Regel toolbasiert.
EAM-Tools wie Alfabet (Software AG) oder LeanIX (LeanIX GmbH) können Unternehmen aus verschiedenen Gründen dabei unterstützen, die GDPR-Compliance zu erreichen.
Zunächst einmal enthalten diese Tools bereits viele Informationen über die IT, die für die GDPR relevant sind:
- Dokumentierte Anwendungen zeigen, wo (innerhalb und außerhalb einer Organisation) Daten verarbeitet werden und wie.
- Informationsflüsse beschreiben, wie Daten zwischen Anwendungen ausgetauscht werden.
- Kataloge für Geschäftsdaten definieren Kategorien von Daten, die von Anwendungen und Geschäftsprozessen verwendet werden.
Solche Repositories lassen sich leicht um die GDPR-spezifischen Informationen ergänzen und führen so zu einem wesentlich vollständigeren Überblick über die IT-Verarbeitungsaktivitäten einer Organisation.
EAM-Tools bieten auch starke Berichtsfunktionen. Alfabet zum Beispiel bietet unter anderem die folgenden Berichte und Ansichten:
- Anwendungen und deren Zusammenspiel über Informationsflüsse können mit Hilfe von Informationsflussdiagrammen sichtbar gemacht werden.
- Datenverarbeitungsaktivitäten (Erstellen, Lesen, Aktualisieren, Löschen) werden in sogenannten CRUD-Matrizen aufgelistet.
Methodischer Aufbau der GDPR-Konformität
Wir unterstützen Ihr Unternehmen bei der Umsetzung der GDPR-Compliance in einem dreistufigen Ansatz:
- Informieren: Lernen Sie die GDPR-Verordnung und ihre Anforderungen aus rechtlicher und IT-Sicht in einem eintägigen Workshop kennen.
- Definieren: Definieren Sie die Maßnahmen, die auf der Grundlage Ihrer individuellen Anforderungen ergriffen werden müssen (z. B. wie EAM-Tools konfiguriert werden müssen, um die für die GDPR erforderlichen Informationen bereitzustellen, wie Prozesse geändert werden müssen, um die GDPR-Schritte zu integrieren usw.).
- Realisieren: Wir helfen Ihnen bei der Umsetzung der in Schritt 2 definierten Maßnahmen. Unter anderem: Wir richten Ihr EAM-Tool ein und erweitern es für die GDPR-Anwendungsfälle aus Schritt 2 und importieren die erforderlichen Daten. Wir bieten verschiedene Tools an, um den Abruf von Daten über die IT-Landschaft zu automatisieren, z.B. mit unserem Landscape Analzer für SAP-Systeme und Amazon Web Service (AWS).