Zusammenfassung
Die datenschutzkonforme Handhabung von Daten ist für Unternehmen mit komplexen IT-Landschaften eine große Herausforderung. Datenschutzverstöße stellen rechtliche und finanzielle Risiken dar, insbesondere durch die umsatzabhängigen Bußgelder, die in der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) vorgesehen sind. Die Sicherstellung der Datenschutzkonformität in betrieblichen Anwendungssystemen ist bislang aufwändig und nur in geringem Umfang automatisiert. In diesem Beitrag wird ein Lösungsansatz vorgestellt, der die durchgängige Dokumentation, Durchsetzung und Kontrolle von Datenschutzanforderungen für betriebliche Anwendungssysteme gewährleisten soll, um eine nachhaltige Datenschutzkonformität zu erreichen. Dazu schlagen wir eine Methodik vor, die organisatorische Prozesse sowie technische Komponenten miteinander verbindet, um die Verwaltung von Datenschutzanforderungen stärker in das unternehmensweite IT-Management zu integrieren.
Abstract
Handling data in a legally compliant manner is a major challenge for companies with complex IT landscapes. The violation of data protection acts poses legal and financial risks, particularly due to the turnover-dependent fines, which are provided for in the new European General Data Protection Regulation. Ensuring the compliance with data protection acts in enterprise software systems is currently a time-consuming and costly task with a very low level of automation. In this contribution, we present an approach for the consistent documentation, enforcement and monitoring of data protection requirements in enterprise software systems. For that, we propose a methodology, which links organizational processes and technical components to integrate the management of data protection rules with company-wide IT-management.
Notes
Laut einer Studie sind „81 Prozent der befragten Datenschutzbeauftragten […] in Teilzeit tätig. 37 Prozent widmen maximal fünf Prozent ihrer Arbeitszeit dem Datenschutz“. Weiterhin haben „48 Prozent der befragten Datenschutzbeauftragten […] zu wenig Zeit, ihre gesetzlichen Pflichten zu erfüllen.“ (Belke et al. 2015, S. 754).
Vgl. u. a. Artikel 30 EU-DSGVO.
Strenggenommen handelt es sich bei der Modellierung der Anforderungen an den Datenschutz um eine Metamodellierung. Die Datenschemata und die Datensätze in den Anwendungssystemen stellen ein Modell dar.
Literatur
Alpar P, Alt R, Bensberg F, Grob HL, Weimann P, Winter R (2014) Anwendungsorientierte Wirtschaftsinformatik. Springer, Wiesbaden
Belke M, Neumann K, Zier D (2015) Datenschutzalltag in deutschen Unternehmen. Datenschutz Datensich 39:753–758. doi:10.1007/s11623-015-0513-6
BfDI (2016) Eingriffe in das Recht auf informationelle Selbstbestimmung nur auf der Grundlage eines Gesetzes, das auch dem Datenschutz Rechnung trägt (Volkszählungsurteil). http://www.bfdi.bund.de/DE/Datenschutz/Themen/Melderecht_Statistiken/VolkszaehlungArtikel/151283_VolkszaehlungsUrteil.html. Zugegriffen: 16. Sep 2016
Dapp T, Heine V (2014) Big Data – Die ungezähmte Macht. Deutsche Bank Research, Frankfurt am Main
Ernst & Young (2016) Bereit für die EU-Datenschutzgrundverordnung?; Studie zum Reifegrad von Datenschutzmanagementsystemen in Unternehmen
Europäische Union (2016) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). http://data.europa.eu/eli/reg/2016/679/oj. Zugegriffen: 15.11.2016
Gola P, Wronka G (2012) Handbuch Arbeitnehmerdatenschutz; Rechtsfragen und Handlungshilfen unter Berücksichtigung der BDSG-Novellen. Datakontext, Heidelberg
Hansen HR, Mendling J, Neumann G (2015) Wirtschaftsinformatik; Grundlagen und Anwendungen. de Gruyter, Berlin
Horvath & Partner (2014) Daten avancieren zum 4. Produktionsfaktor. https://www.horvath-partners.com/de/presse/aktuell/detail/date/2014/09/29/daten-avancieren-zum-4-produktionsfaktor/. Zugegriffen: 07. Sep 2016
Humberg T, Wessel C, Poggenpohl D, Wenzel S, Ruhroth T, Jürjens J (2013) Ontology-based analysis of compliance and regulatory requirements of business processes. In: Desprez F (Hrsg) S. l Proceedings of the 3rd International Conference on Cloud Computing and Services Science, Aachen, 8.-10. May 2013. SciTePress, Setúbal
Karjoth G (2015) Datenschutzkonforme Geschäftsprozesse. In: Barton T, Erdlenbruch B, Herrmann F, Marfurt K, Müller C, Seel C (Hrsg) Prozesse, Technologie, Anwendungen, Systeme und Management 2015. Angewandte Forschung in der Wirtschaftsinformatik. mana-Buch, Heide, S 20–30
Lange JA (2005) Sicherheit und Datenschutz als notwendige Eigenschaften von computergestützten Informationssystemen; Ein integrierender Gestaltungsansatz für vertrauenswürdige computergestützte Informationssysteme. Dissertation. Ruhr-Universität Bochum, Bochum
LfDI RLP (2014) Bußgeldverfahren gegen die Debeka einvernehmlich abgeschlossen. Landesdatenschutzbeauftragter Rheinland-Pfalz. https://www.datenschutz.rlp.de/de/presseartikel.php?pm=pm2014122901. Zugegriffen: 16. Sep 2016
Loomans D, Matz M, Wiedemann M (2014) Praxisleitfaden zur Implementierung eines Datenschutzmanagementsystems; Ein risikobasierter Ansatz für alle Unternehmensgrößen. Springer Vieweg, Wiesbaden
de Masellis R, Ghidini C, Ranise S (2015) A declarative framework for specifying and enforcing purpose-aware policies. In: Foresti S (Hrsg) Security and trust management. Springer, Cham, S 55–71
Projekt Datenschutz (2016) Datenschutzvorfälle. http://www.projekt-datenschutz.de/datenschutzvorfaelle. Zugegriffen: 16. Sep 2016
Rodeck M, Voigt C, Schnütgen A, Schiering I, Decker R (2014) Toolgestützte Assessments zu Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen. In: Plödereder E (Hrsg) Informatik 2014 – Big Data – Komplexität meistern, Stuttgart, 22.–26. Sep 2014. Gesellschaft für Informatik, Bonn, S 575–586
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
About this article
Cite this article
Anke, J., Berning, W., Schmidt, J. et al. IT-gestützte Methodik zum Management von Datenschutzanforderungen. HMD 54, 67–83 (2017). https://doi.org/10.1365/s40702-016-0283-0
Received:
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1365/s40702-016-0283-0