ERP-Tipp von IBM Security: In fünf Phasen DSGVO-fit

261 Seiten umfasst die EU-weite Datenschutz-Grundverordnung (EU-DSGVO) und genauso viele Fragen wirft sie auf. IBM Security hat deshalb ein Fünf-Phasen-Rahmenwerk entworfen, um Unternehmen die Umsetzung der ab Mai 2018 verbindlichen Verordnung zur Vereinheitlichung des EU-Datenschutzrechts zu erleichtern.

ERP-Tipp von IBM Security: In fünf Phasen DSGVO-fit

EU-Verordnungen sind nicht gerade leicht zu lesen und zu befolgen – erst recht nicht, wenn es um heikle Themen wie den Umgang mit Big Data geht. Um Unternehmen die Auseinandersetzung mit dem DSGVO-Regelwerk zu erleichtern, haben IBM Security Experten fünf Phasen identifiziert, die Unternehmen durchlaufen müssen, bis sie DSGVO-fit sind.

Angelehnt an die Inhaltsschwerpunkte der DSGVO sind die Phasen jeweils in die Bereiche Datenschutz und Sicherheitsanforderungen unterteilt. Unser Ansatz für eine grundlegende DSGVO-Expertise in fünf Phasen sieht folgendermaßen aus:

Phase 1: Beurteilung des Status-Quo

Hier geht es um die Frage, welche der gesammelten und gespeicherten Daten überhaupt von den DSGVO-Richtlinien betroffen sind und wie sie erfasst werden können?

Phase 2: Entwicklung eines Plans zum Umgang mit Daten

Wie werden Daten im Unternehmen gesammelt, genutzt und gespeichert?
In einem strategischen Ansatz sollten in dieser Phase Risiken und Unternehmensziele ausgelotet werden.

Phase 3: Gewohnheiten im Umgang mit Daten überdenken

Innerhalb des Unternehmens muss klar werden, dass Daten für die Urheber genauso wichtig sind wie für das Unternehmen insgesamt. Deshalb ist es ratsam, Datenschutzrichtlinien sowie Sicherheits- und Verwaltungskontrollen (auch: TOM – Technical and Organizational Measures) einzuführen und gegebenenfalls einen Data Protection Officer zu ernennen.

Phase 4: Umsetzung des in Phase 2 entworfenen Datenschutz-Plans

Sobald der Datenschutz-Plan umgesetzt ist, werden Datenströme kontinuierlich geprüft und der Daten-Zugang überwacht, außerdem Sicherheitstests durchgeführt und unwichtige Daten gelöscht.

Phase 5: Vollständige Einhaltung der DSGVO-Richtlinien

Ab diesem Zeitpunkt werden alle DSGVO-Anforderungen erfüllt. Darüber hinaus ist das Unternehmen durch die Dokumentation aller Aktivitäten auf mögliche Betriebsprüfungen vorbereitet und kann im Fall einer Datenpanne Regulatoren und Betroffene informieren.

IBM Security: GDPR Famework
IBM Security: GDPR Famework

Mit diesem Fünf-Phasen-Plan wollen wir Unternehmen dabei unterstützen, rechtzeitig DSGVO-fit zu werden. Der Weg dorthin ist individuell unterschiedlich, aber ein solches Rahmenwerk kann helfen, alle notwendigen Schritte im Auge zu behalten.

Anmerkung: Unternehmen sind selbst verantwortlich für die Beachtung der geltenden Vorschriften und Gesetze, die EU-DSGVO mit inbegriffen. IBM gibt keine Rechtsauskunft oder übernimmt die Gewährleistung dafür, dass Unternehmen mit der Inanspruchnahme von Services oder Produkten der IBM geltende Gesetze oder Regulierungen erfüllen.


Über die Autorin:

Cindy Compert ist Chief Technical Officer Data Security and Privacy bei IBM. Als technische Visionärin ist sie der Überzeugung, dass Datensicherheit und Datenschutz entscheidend zum Unternehmenserfolg beitragen.