Entwicklung von Richtlinien, Standards und Kontrollen [DSGVO-Schritt 1]

Data-Governance ist nichts Neues. Schon seit Jahren nutzen Organisationen Verfahren, um ihre Daten zu strukturieren, zu schützen und zu analysieren. Viele streng regulierte Branchen, wie etwa der Finanzdienstleistungs- oder Lifesciences-Sektor, haben Data-Governance-Initiativen ins Leben gerufen, um Compliance-Vorschriften wie BCBS 239, Solvency 2 oder HIPAA zu erfüllen. Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) und anderer Datenschutzvorgaben auf der ganzen Welt sind jetzt die meisten Unternehmen unabhängig von Größe oder Branche dringend auf Best Practices zur Data-Governance angewiesen.

Zu diesem Thema haben wir das Webinar Practical Steps to GDPR Compliance veranstaltet, das jetzt on demand verfügbar ist. Hier erfahren Sie, wie Sie in 16 praktischen Schritten die Voraussetzungen zur Einhaltung der DSGVO schaffen.

Laden Sie Entwicklung von Richtlinien, Standards und Kontrollen [DSGVO-Schritt 1] jetzt herunter.
Weitere Informationen

Was ist die DSGVO?

Die von der Europäischen Union (EU) eingeführte DSGVO gilt für die Verarbeitung personenbezogener Daten sämtlicher EU-Bürger, einschließlich Kunden, Mitarbeitern und potenzieller Kunden. Nach einer zweijährigen Übergangsphase trat die Verordnung am 25. Mai 2018 in Kraft.

Die DSGVO gilt für Personen in der EU, selbst wenn die Daten von Organisationen außerhalb der EU verarbeitet werden (z. B. USA, Asien-Pazifik, Naher Osten und Afrika). Unternehmen, die gegen die DSGVO verstoßen, drohen hohe Geldbußen von 20 Millionen Euro bzw. vier Prozent ihres weltweiten Umsatzes – je nachdem welcher Betrag höher ist.

Zweck der DSGVO ist es, bessere Datenschutzrichtlinien zu erstellen und Organisationen, die personenbezogene Daten verarbeiten, stärker in die Verantwortung zu nehmen. In 99 detaillierten Artikeln beschreibt die DSGVO eine Reihe von Regeln, die Organisationen einhalten müssen. Gemeinsam gewährleisten diese Artikel, dass Unternehmen äußerst behutsam mit personenbezogenen Daten umgehen und diese schützen, die Datenqualität im Auge behalten und sicherstellen, dass die betroffenen Personen über die Anwendung ihrer Daten informiert sind.

Der Übergang ist allerdings nicht einfach. Die neuen Prozesse müssen systemisch und automatisiert anstatt ad hoc, manuell und intrusiv sein. Wenn die DSGVO auch für Ihr Unternehmen gilt, sollten Sie unbedingt einen Blick auf unseren umfassenden, strukturierten 16-stufigen Plan zur Einhaltung der DSGVO werfen.

In einem ersten Schritt sieht der Plan die Entwicklung relevanter Richtlinien zur Stärkung des Data-Governance-Programms vor.

Entwicklung von Richtlinien, Standards und Kontrollen

Jede Organisation muss Richtlinien entwerfen, die sich direkt oder indirekt auf die DSGVO-Artikel beziehen. Diese umfassen verschiedene Bereiche wie Data-Ownership, Datenschutz, Zugriff, Schutz, Sicherheit, Metadatenmanagement und Datenqualitätsmanagement. Folgende Fragen sollten beachtet werden:

  • Was sind personenbezogene Daten? Wo werden sie verarbeitet und aus welchem Grund? Woher stammen die Daten und wohin werden sie übertragen?
  • Wie lassen sich Einwilligungen (Opt-ins) zurückverfolgen?
  • Wie kann man die Verarbeitung personenbezogener Daten einschränken?
  • Wer kann auf diese Daten zugreifen und wie wird der Zugriff zurückverfolgt?
  • Wie lassen sich Daten maskieren oder löschen, wenn es keine explizite Einwilligung gibt oder wenn die Aufbewahrungsfrist abgelaufen ist?
  • Sind diese Daten wirklich erforderlich oder sind sie optional?

Sofern es keinen Grund gibt, solche Aufgaben manuell zu bearbeiten, sollten diese Richtlinien besser in irgendeiner Form in den IT-Systemen automatisiert werden.

Die Plattform und Produktsuite von Talend bieten eine einfache Methode hierfür. Unten finden Sie ein paar Beispiele für DSGVO-Kontrollen und die entsprechenden Talend-Tools für eine einfache Implementierung.

Artikel 6 der DSGVO: Rechtmäßigkeit der Verarbeitung

Artikel 6 der DSGVO sieht angemessene Einwilligungen durch die Rechts- und Compliance-Abteilung während der Designphase beliebiger neuer Projekte vor, die eine Verarbeitung personenbezogener Daten erfordern.

Nützliche Tools: Talend Metadata Manager und Talend MDM.

Artikel 7 der DSGVO: Bedingungen für die Einwilligung

Die Einwilligung bezieht sich auf die explizite Einwilligung des Kunden zur Weitergabe personenbezogener Daten. Dies ist ein besonders wichtiger Aspekt der DSGVO. Es ist absolut erforderlich, dass Unternehmen einen Nachweis dieser Einwilligung vorlegen können. Dies kann nicht mehr implizit erfolgen – es muss lückenlos nachgewiesen werden, wann und wie die Einwilligung erteilt wurde (Telefon, E-Mail etc.). Wenn Kunden nur eine teilweise Zustimmung geben, muss auch diese aufgezeichnet werden.

Nützliche Tools: Talend Data Quality, Talend Big Data und Talend Master Data Management (MDM).

Artikel 9 der DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten

Besondere Kategorien personenbezogener Daten beziehen sich etwa auf ethnische Herkunft oder politische Meinungen. Unter der DSGVO gelten solche besonderen Parameter als kritische Datenelemente. Laut Artikel 9 müssen Rechts- und Compliance-Abteilungen der Nutzung besonderer Kategorien direkt in der Designphase eines Projekts zustimmen.

Nützliche Tools: Talend Metadata Manager und Talend Data Quality.

Artikel 11 der DSGVO: Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Die Anonymisierung der betroffenen Person in Form von Datenmaskierung ist eine wichtige Säule des Datenschutzes und der Datensicherheit (Artikel 11). Somit wird das Risiko vermindert, dass vertrauliche Informationen gestohlen werden. Richtlinien und Standards, die eine Identifizierung der betroffenen Person erschweren, sind enorm wichtig für die Wahrung der Anonymität. Die Definition eindeutiger Rollen und Verantwortlichkeiten mit angemessenen administrativen Rechten ist ein weiterer Schritt hin zu einem eingeschränkten Zugriff auf private Daten.

Nützliche Tools: Talend Data Quality und Talend Data Preparation.

Artikel 30 der DSGVO: Verzeichnis von Verarbeitungstätigkeiten

Artikel 30 der DSGVO sieht eine klare Prüfkette für vertrauliche Daten in einem Unternehmen (einschließlich Dritten) vor. Dies stellt sicher, dass die Datenherkunft über den gesamten Datenlebenszyklus hinweg lückenlos zurückverfolgt werden kann.

Nützliche Tools: Talend Metadata Manager.

Die nächsten Schritte bei der Erstellung von DSGVO-Richtlinien

Durch die Einrichtung eines Data-Governance-Regelwerks stellen Sie die Kontrolle über kritische Daten sicher. Zudem ermöglicht ein solches Regelwerk eine bessere Abstimmung zwischen Rechts-, Compliance-, Datenschutz- und Enterprise-Datenmanagementteams und sorgt dafür, dass alle auf dem gleichen Stand sind, bevor es in die nächste Implementierungsphase geht.

Wenn Sie mehr über die nächsten Schritte in unserem 16-stufigen Plan zur Einhaltung der DSGVO wissen möchten, sehen Sie sich dieses On-Demand-Webinar an. Hier befassen wir uns ausführlich mit allen 16 Schritten und erklären, wie Sie die Richtlinien und Standards konkret umsetzen können.

| Zuletzt aktualisiert: February 3rd, 2020

Die beliebtesten Ressourcen

Sie sind sich immer noch nicht ganz sicher, wo Sie beginnen sollen?