Zusammenfassung
Datenschutz nimmt eine zunehmend größere Bedeutung in der modernen Datenverarbeitung ein. Seit dem 25. Mai 2018 müssen Unternehmen der EU-Datenschutz-Grundverordnung (EU-DSGVO) entsprechen. Ziel ist die Vereinheitlichung der Datenschutzgesetze aller 28 Mitgliedstaaten der EU. Unternehmen können bei Verstößen mit Bußgeldern bis zu 20 Mio. € oder vier Prozent des weltweiten Jahresumsatzes sanktioniert werden. Aktuelle Studien verdeutlichen, dass die Anzahl der Unternehmen, die den Vorgaben der EU-DSGVO entsprechen, gering ist. In diesem Zusammenhang stehen Unternehmen vor verschiedenen Herausforderungen, wie bspw. undeutliche Interpretationen der EU-DSGVO und die einhergehende Komplexität bei der Anwendung der Verordnung in der Praxis. Unternehmensarchitekturen liefern eine holistische Sicht auf wesentliche Artefakte einer Organisation. Dies geschieht durch eine Verknüpfung über verschiedene Ebenen (z. B. Business und IT). Diese Strukturen sind im Kontext der EU-DSGVO unerlässlich um festzuhalten, warum Daten verarbeitet werden und in welchen Systemen sie gespeichert sind. Vor diesem Hintergrund empfehlen wir, basierend auf den Konzepten des Unternehmensarchitekturmanagements, einen systematischen Ansatz zur Einführung eines DSGVO Projektes. Die vorgestellte Methode wird derzeit bei einem international führenden Softwarehersteller eingesetzt, unter Einhaltung des Design Science Research Paradigmas entwickelt, und evaluiert.
Abstract
Data protection is playing an increasingly important role in modern data processing. Beginning with May 25, 2018, companies need to comply with General Data Protection Regulation (GDPR), a regulation to standardize the data protection laws across all 28 EU countries. In case of a noncompliance, the companies can be fined up to 4% of annual global turnover or €20 million. Recent studies show that the rate of the companies that put the GDPR requirements into practice is quite low. One challenge in this context is vague interpretations of GDPR and the complexity of applying the regulation in practice. Enterprise architectures deliver a holistic view of essential artefacts in an organization. This is achieved by relating information across different domains, e. g. Business and IT. In the GDPR context, such structures deem to be vital when it comes to documenting why the data is processed and in which systems it is stored. To this end, we propose a systematic approach on how to introduce a GDPR project in organizations drawing on the concepts of Enterprise Architecture Management. The approach, which is currently being used in an internationally leading software manufacturer, is developed and evaluated in line with design science research paradigm.
Notes
Die Umfrage ist aufrufbar unter http://bit.ly/DSGVO_Umfrage.
Literatur
Alnemr R, Cayirci E, Dalla Corte L, Garaga A, Leenes R et al (2011) A data protection impact assesment metholodgy for cloud. https://pdfs.semanticscholar.org/5b74/2c82769c026f9c487d4d84d46f1ff86ea061.pdf. Zugegriffen: 19. Juni 2018
Baskerville R (2008) What design science is not. Eur J Inf Syst 17(5):441–443
Berning W, Meyer K, Keppeler LM (2017) Datenschutz-konformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU DS-GVO. HMD 54(4):618–631
Bieker F, Friedewald M, Hansen M, Obersteller H, Rost M (2016) A process for data protection impact assessment under the European general data protection regulation. Privacy Technologies and Policy, S 21–37
Datenschutz-Grundverordnung (DSGVO) (2018a) Art. 4 DSGVO – Begriffsbestimmungen. Datenschutz-Grundverordnung (DSGVO). https://dsgvo-gesetz.de/art-4-dsgvo/. Zugegriffen: 28. März 2018
Datenschutz-Grundverordnung (DSGVO) (2018b) Art. 5 DSGVO – Grundsätze für die Verarbeitung personenbezogener Daten. Datenschutz-Grundverordnung (DSGVO). https://dsgvo-gesetz.de/art-5-dsgvo/. Zugegriffen: 3. Apr. 2018
Datenschutz-Grundverordnung (DSGVO) (2018c) Art. 32 DSGVO – Sicherheit der Verarbeitung. Datenschutz-Grundverordnung (DSGVO). https://gdpr-info.eu/art-32-gdpr/. Zugegriffen: 18. Apr. 2018
DIN-Norm 66398 (2018) Die Entwicklung eines Löschkonzepts. http://din-66398.de/. Zugegriffen: 19. Juni 2018
Dresch A, Lacerda DP, Antunes JAV Jr (2015) Design science research: a method for science and technology advancement. Springer, Cham https://doi.org/10.1007/978-3-319-07374-3
European Union General Data Protection Regulation (EU-GDPR) (2018) EU GDPR News & Updates—European Union General Data Protection Regulation. https://eugdpr.com/. Zugegriffen: 3. Apr. 2018
Feltus C, Grandry E, Kupper T, Colin J (2017) Model-driven approach for privacy management in business ecosystem. Proceedings of the 5th International Conference on Model-Driven Engineering and Software Development – 1, S 392–400
Goldkuhl G, Lind M, Seigerroth U (1998) Method integration: the need for a learning perspective. IEE Proc Softw 145(4):113–118
Martin Y‑S, del Álamo JM (2017) A metamodel for privacy engineering methods. IWPE 2017 Internantional Workshop on Privacy Egineering. (http:\\ceur-ws.org/Vol-1873/IWPE17_paper_24.pdf)
Moody D (2003) The method evaluation model: a theoretical model for validating information systems design methods. ECIS 2003 Proceedings. (http://aisel.aisnet.org/ecis2003/79)
Peffers K, Tuunanen T, Rothenberger MA, Chatter-jee S (2007) A design science research methodology for information systems research. J Manag Inf Syst 24(3):45–77
De Weerd V, Souer J, Versendaal J, Brinkkemper S (2005) Situational Requirements Engineering of Web Content Management Implementations. SREP2005
Zentrum für Europäische Wirtschaftsforschung (ZEW) (2018) Die Zeit drängt – Starker Nachholbedarf bei der Datenschutz-Grundverordnung. ZEW Branchenreport Informationswirtschaft. http://ftp.zew.de/pub/zew-docs/brepikt/201801BrepIKT.pdf. Zugegriffen: 17. Juni 2018
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
About this article
Cite this article
Koç, H., Eckert, K. & Flaig, D. Datenschutzgrundverordnung (DSGVO): Bewältigung der Herausforderungen mit Unternehmensarchitekturmanagement (EAM). HMD 55, 942–963 (2018). https://doi.org/10.1365/s40702-018-00449-7
Received:
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1365/s40702-018-00449-7