Neuer Datenschutz (DSGVO / GDPR) und seine Lösungen
Neue Regeln verlangen neue Maßnahmen
Fest steht, am 25.05.2018 ist sie da, die neue, die DSGVO. Fest steht auch, es gibt keine Schonfrist. Wer bis dahin sein Schäfchen nicht im Trockenen hat, also seinen Datenschutz im Unternehmen nicht rechtskonform realisiert hat, der könnte Probleme bekommen. Warum? Erstens: Verstöße rechnen sich nun. Bis zu 20 Millionen Euro und auch etwas mehr darf es da schon mal sein. Zweitens: Die Aufsichtsbehörden rüsten auf. Das Personal wird vielerorts deutlich aufgestockt. Die Gefahr entdeckt zu werden steigt also. Und drittens: Bereits der immaterielle Schaden ist dem Betroffenen, also beispielsweise dem Mitarbeiter, zu ersetzen.
Was ist also zu tun?
Zwei Ansätze bieten sich an. Kopf in den Sand und abwarten. Angesichts der oben genannten Beträge wohl eher ein seltener Ansatz. Oder: Den aktuellen Stand dem geforderten gegenüberstellen, Handlungsbedarf ableiten und umsetzen. Der systematischere und durchweg bessere Ansatz. Und genau das bieten wir Ihnen an.
Problem erkannt – Lösung realisiert.
Lösung zur Umsetzung der DSGVO / GDPR
Datenschutz ist aus betriebswirtschaftlicher, informationstechnischer und juristischer Sicht zu realisieren. Diesem Dreiklang folgt deshalb unser Analyseansatz.
Der Analyseansatz nach IBS
Betriebswirtschaftliche Identifikation der datenschutzrelevanten betrieblichen Prozesse
Gemäß einer Top-Down-Analyse werden zunächst die im Unternehmen betriebswirtschaftlich definierten Prozesse identifiziert, in denen personenbezogene Daten verarbeitet werden.
Betriebswirtschaftliche Analyse der tatsächlichen operativen Struktur
Die aus der Top-Down-Analyse zunächst theoretisch gewonnenen Prozesse werden mit der operativen Struktur im Unternehmen im Rahmen einer modifizierten GAP-Analyse abgeglichen und dieser zugeordnet. Differenzen werden diskutiert.
Abgleich mit vorhandener betriebsinterner Dokumentation
Der operativen Struktur wird die betriebsinterne Dokumentation zugeordnet. Diese besteht typischerweise insbesondere aus SOPs, Verfahrensverzeichnissen, Arbeitsanweisungen und Betriebsvereinbarungen.
Klassifikation der Daten in Absprache mit Fachabteilungen
Die personenbezogenen Daten werden klassifiziert. Die Klassifizierung erfolgt hinsichtlich Personenbezogenheit, Personenbeziehbarkeit, besonderen Kategorien, Verantwortlichkeiten, Auftragsdatenverarbeitern, Empfängern, Verlustrisiko, Betroffenenrisiko und gesetzlicher Grundlage.
Zuordnung der informationstechnischen Abläufe
Die klassifizierten Daten werden sodann in die informationstechnische Abläufe wie Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verbreiten, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen, Vernichten, Berichtigen und Löschen gegliedert.
Aufteilung in organisatorische und IT-sicherheitstechnische Schutzmaßnahmen
Den informationstechnischen Abläufen werden die entsprechenden Schutzmaßnahmen nach dem Stand der Technik zugeordnet.
Analyse vertraglicher Beziehungen
Es werden die relevanten vertraglichen Beziehungen zu Kunden, Lieferanten und Auftragsdatenverarbeitern analysiert.
Bewertung der Ergebnisse
Eine abschließende Bewertung der Ergebnisse in Form einer Einteilung in Must Have, Nice to Have und Need to Know gibt eine ausführliche Übersicht, welche Diskrepanzen noch zur DSGVO bestehen und in welcher Reihenfolge vorhandene Lücken zu schließen sind. Die Ergebnisse sind juristisch mit Normenhinweisen belegt.
Unternehmensspezifisch individuell
Je nach Unternehmensgröße und Verarbeitungsintensität personenbezogener Daten kommt es zu unterschiedlichen Gewichtungen der einzelnen Punkte des Analyseansatzes. Daraus ergibt sich auch eine Änderung im Zeitaufwand.
Fordern Sie jetzt ein unverbindliches Angebot für Ihr Unternehmen an.