DSGVO Risikoabschätzung

Bei vielen Unternehmen bezogen sich die bisherigen Bemühungen zur Einhaltung der seit 25. Mai 2018 in Kraft getretenen Datenschutzgrundverordnung (EU-DSGVO) auf die Bereiniung der Corporate-Website, die öffentliche Erklärung, dass sog. "Cookies" und Google Analytics zur Gewinnung personenbezogener Daten verwendet werden, und dass sich diese Hilfsmittel auch durch den Besucher der Website ausschalten lassen.

Damit ist der Gesetzeserfüllung jedoch bei weitem nicht genüge getan. Künftige Risiken zu vermeiden oder zu minimieren, um nicht nach der neuen DSGVO zu teilweise sehr hohen Strafen verurteilt zu werden - das ist noch ein großer Kraftakt. Ihr Datenschutzbeauftragter wird es Ihnen bestätigen.

Zusätzliche Aufwände zur Erfüllung der DSGVO-Regelkonformität entstehen vor allem durch

  • Artikel 15 (Auskunftsrecht der betroffenen Person)
  • Artikel 17 (Recht auf Löschung „Recht auf Vergessenwerden“)
  • Artikel 30 (Verzeichnis von Verarbeitungstätigkeiten)
  • Artikel 31 (Zusammenarbeit mit der Aufsichtsbehörde)
  • Artikel 33 (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde)
  • Artikel 34 (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person)
  • Artikel 35 (Datenschutz-Folgeabschätzung)

Zusammen mit unserem Partner Prosper Intelligence bieten wir Ihnen ein 3-stufiges DSGVO-Dienstleistungspaket zur Minimierung des DSGVO-RISIKOS in Ihrem Unternehmen an. Eine allgemeine Hinführung zum Thema erhalten Sie über unser Einführungsvideo.

Hierbei ist unser Alleinstellungsmerkmal Ihr Vorteil: Denn mithilfe unserer KI-Robotic GRC|365 Appliance können wir Ihnen ein über ein herkömmliches DSGVO-Assessment deutlich hinausgehendes Leistungsspektrum anbieten. Dies betrifft vor allem den kritischen Kern der Datenschutzfragen wie: An welchen Standorten, in welcher Infrastruktur, auf welchen Speichermedien und Speicherorten, über welche Applikationen und Prozesse werden personenbezogene Daten gespeichert und verarbeitet.  

Die einzelnen Bereiche der DSGVO Risikoabschätzung sind:

Stufe 1: DSGVO - Core Intelligent Assessment (CIA) (Datenblatt)

Mit einem Rückblick einen stabilen Grundbestand für die durchgehende DSGVO Konformität erstellen.

Die zentrale Herausforderungen für die Umsetzung der DSGVO ist die erforderliche Transparenz der IT-Landschaft - also die Kartographie über die IT-Infrastruktur und der darauf befindlichen Daten. In Ihrem Unternehmen wurde immer schon personenbezogene Daten in verschiedenen Standorten und Abteilungen durch Mitarbeiter oder durch Online-Systeme gespeichert und den Prozessen entsprechend weiterverarbeitet. Oftmals werden diese durch Mensch und Maschine an verschiedenen Stellen gelagert, kopiert oder gesichert. Wie, was, wann und warum wurde bislang nicht dokumentiert. Es fehlt also der verlässliche, vollständige und damit elementare Überblick, um die Basis-Anforderungen der DSGVO erfüllen zu können.

Die Kartographie Ihrer IT-Landschaft erstellen wir mit unserer KI Robotic GRC|365. Eine einzige Appliance ist auf bis zu 500 Computerarbeitsplätzen und 200 Servern skalierbar. Spezielle Einstellungen stellen eine flächendeckende Aufnahme in Ihrem Unternehmen sicher und garantieren eine arbeitsrechtlich korrekte Vorgehensweise. Verschlüsselte Kanäle sorgen für eine sichere Anbindung.

Je nach Komplexität ist diese Angelegenheit in 1-5 Werktagen erledigt. Unsere KI baut mit den gesammelten Informationen sein Wissen auf und sorgt so für Ihre DSGVO konforme Transparenz. Bereits nach einigen Tagen wird Ihre gesamte IT-Landschaft nach personenbezogenen Daten durchsucht.

Gemeinsam mit unserem Partner prüfen wird, ob die geforderte Datenbank-Verschlüsselungen in Ihren Business Anwendungen durchgeführt werden und ob Zugriffe über die Anwendung oder direkt in der Datenbank den Richtlinien entsprechen. Parallel durchsucht unsere KI vollautomatisch, flächendeckend oder gezielt sämtliche Ablagen nach Excel, Word, PDF, CSV und TXT Dateien.

Mit seinem mentalen Lexikon examiniert es jede einzelne Datei nach personenbezogenen Daten. Da wir davon ausgehen, dass unsere Kunden international tätig sind, erledigt das unsere KI gleich in 30 verschiedenen Sprachen.

Abhängig von der Komplexität Ihrer Unternehmensstruktur haben wir bereits nach 3-6 Wochen belastbare Informationen über den Ist-Zustand. Um das Risiko aber korrekt einschätzen zu können, simulieren wir mit unserem Partner eine Prüfung durch die Aufsichtsbehörde. Die daraus erzielten Erkenntnisse werden dann Bestandteil unseres Abschlussberichtes, samt Maßnahmenkatalog.

Mit unserem Service DSGVO-CIA können Sie die Datensicherheit und Belastbarkeit der Systeme nach Stand der Technik sicherstellen und Ihrer Meldepflicht bei Data Breaches binnen 72 Stunden nachkommen.

Erfahren Sie mehr über die Leistungen des DSGVO - Core Intelligent Assessment (CIA).

Stufe 2: DSGVO - Intelligent Risk Assessment (IRA) (Datenblatt)

Nahtlos rechtliche und wirtschaftliche Risiken des DSGVO Wissens im Zeitalter hybrider Betriebe.

Unternehmen sind zunehmend über Schnittstellen miteinander verknüpft, tauschen sensible personenbezogene Daten mit hoher Intensität digitalisiert aus und verarbeiten diese dann entsprechend unterschiedlicher Prozessen in ihren Unternehmen weiter (hybrid operation). Beispiele sind die Lohnverrechnung durch einen Steuerberater, die Kundenwerbung über externe Agenturen, die ausgelagerte IT an externe Dienstleister oder die Teilerfüllung von Aufträgen.

Als hybrid werden auch Verarbeitungsprozesse innerhalb einer Unternehmensgruppe auf nationaler oder internationaler Ebene bezeichnet. Personenbezogenen Daten von Internen und Externen sind ein Bestandteil im regelmäßigen Austausch zwischen Organisationen und werden permanent angereichert oder aktualisiert. Gerade diese Anreicherung und Aktualisierung erhöht das DSGVO-Risiko um ein Vielfaches.

Der Wert eines verlorenen Datensatzes richtet sich z.B. danach, ob eine enthaltene E-Mail Adresse, die Anschrift, der Familienstand oder die Staatsangehörigkeit gerade jetzt aktuell ist. Es wäre durchaus möglich, dass auch Sie im Zuge der wirtschaftlichen Verkettung im Auftrag Ihrer Geschäftspartner personenbezogenen Daten weiterverarbeiten und für deren DSGVO-Konformität verantwortlich sind, falls Sie nicht ohnehin als Auftraggeber an Sub-Lieferanten agieren.

In Ihrer Verantwortung liegt es zu wissen, welche rechtlichen und wirtschaftlichen Risiken auf Ihr Unternehmen zukommen. Stellen Sie auch den erzielten Profit aus solchen Geschäftstätigkeiten immer dem Risiko gegenüber. Sofern Ihre Geschäftspartner nämlich nicht entsprechend der DSGVO konform arbeiten, kann bei deren Verstoß deren Reputationsverlust auch rechtliche und wirtschaftliche Folgen für Ihr Unternehmen haben.

Das DSGVO-IRA befasst sich mit der Erkennung von Risiken in der Zusammenarbeit mit Geschäftspartner und Kunden und basiert auf der erfolgreichen Durchführung des DSGVO-CIA. Unsere KI Robotic GRC|365 greift auf die bereits erstellte Datentransparenz zurück, um einen holistischen Überblick samt Zuordnung von Sorgfaltspflichten und Verantwortungen von Nutzer und Eigner in der Verarbeitung zu erstellen. Dabei werden selbstverständlich Mensch, Maschine und die vertragliche Verpflichtung voll einbezogen. Es erfolgt ein restloses Schließen von Schlupflöchern zwischen rechtlichen und technischen Fragen, um die vollständige Konformität auch im hybriden Betrieb zu gewährleisten.

Erfahren Sie mehr über die Leistungen des DSGVO - Intelligent Risk Assessment (IRA).

Stufe 3: DSGVO - Intelligent Risk Management (IRM) (Datenblatt)

Langfristige Einhaltung der DSGVO Konformität.

Bei der langfristigen Einhaltung der DSGVO Konformität geht es um die fristgerechte Vollstreckung von

  • Artikel 15: Unsere Software ermöglicht eine zeitgesteuerte und automatisierte Erhebung Ihrer Datenbank, Dokument- & Tabellensysteme nach Daten betroffener Personen, die Auskunft verlangt haben.
  • Artikel 17: Sofern Daten des Auskunftstellers gefunden wurden, ist eine Löschung im Nachgang vorbehaltlich der gültigen Rechtslage praktisch und automatisiert umsetzbar.
  • Artikel 33: Durch Überwachungsmöglichkeiten werden mögliche Verletzungen rasch erkannt und mit notwendigen Informationen über den Vorfall versehen.
  • Artikel 34: Betroffenen Personen können über im Unternehmen gestreute Datenkopien identifiziert und der Verordnung konform benachrichtigt werden. Praktisch jeder gespeicherte Datensatz existiert in einem Unternehmen mindestens zwei Mal.
  • Artikel 35: Die notwenige Folgenabschätzung enthält für die Behörden alle wichtigen Informationen. Diese Details bestätigen den Behörden, dass Ihr Unternehmen ausreichend Mittel eingesetzt hat. Unser Service beinhaltet auch die Möglichkeit Ihre internen DSGVO-Verantwortlichen intensiver zu betreuen, um deren bleibende Affinität zu gewährleisten.

Erfahren Sie mehr über die Leistungen des DSGVO - Intelligent Risk Management (IRM).