Wiki
DSGVO für Enterprise Architekten: Was EA wissen müssen

DSGVO für Enterprise Architekten: Was EA wissen müssen

Ein hoher Datenschutz ist für Unternehmen in EU-Ländern nicht nur wichtig, sondern auch verpflichtend. Bei allen Tätigkeiten müssen Firmen prüfen, ob sie DSGVO-konform handeln. Gerade bei unübersichtlichen IT-Landschaften kann das aber schnell zu einem Problem werden. Daher ist es wichtig, dass EA und Datenschutzbeauftragte eng zusammenarbeiten. Was die DSGVO für Enterprise Architekten bedeutet und welchen Beitrag sie zum Datenschutz leisten sollten, erklärt dieser Artikel.
Introduction
Introduction
Introduction

Was ist die DSGVO und warum ist sie für Unternehmen so wichtig?

 

DSGVO – wofür steht das eigentlich? In der Langform heißt es „Datenschutz-Grundverordnung“ – es geht hierbei also um den Schutz von Daten. Die Verordnung stammt von der Europäischen Union (EU), gilt aber im gesamten Europäischen Wirtschaftsraum (EWR). Ihr Ziel: Sie möchte den Datenschutz und die Datensicherheit vereinheitlichen und stärken.

 

Zu diesem Zweck umfasst die DSGVO einige standardisierte Gesetze, die auf den Schutz personenbezogener Daten von EU-Bürgern abzielen. Als personenbezogen gelten Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Solche Daten erlauben Rückschlüsse auf eine bestimmte Person. Folgende Informationen gehören folglich zu den personenbezogenen Daten:

 

  • Name
  • Adresse
  • Geburtsdatum
  • Passnummer
  • Sozialversicherungsnummer

 

Diese Daten gelten als sogenannte „direkte Identifikatoren“. Daneben gibt es noch indirekte Identifikatoren wie Kundennummern, Cookies oder IP-Adressen. Auch diese Daten gilt es zu schützen.

 

Schon im Jahr 2016 trat die DSGVO in Kraft. Aber erst seit 2018 ist sie in allen EU-Mitgliedstaaten verpflichtend. Das bedeutet, dass sich Unternehmen dringend daran halten müssen. Wer dies nicht tut, macht sich strafbar und kann mit hohen Bußgeldern belegt werden.

 

Keine Daten zu erheben, ist für Firmen keine Option. Schließlich braucht es in der Kundenkartei vielerlei Informationen wie den Namen und die Adresse sowie eine Bankverbindung, um Käufe verarbeiten zu können. Es geht also nicht unbedingt darum, welche Daten Unternehmen erheben, sondern vielmehr, wie sie damit umgehen.

 

Die DSGVO hat ihren Fokus ganz klar auf dem Schutz personenbezogener Daten von EU-Bürgern. Diese müssen nachvollziehen können, was Unternehmen mit ihren persönlichen Informationen tun. Transparenz ist in diesem Zusammenhang also ein wichtiges Stichwort.

 

Die Standardisierung, die durch die DSGVO erzeugt wird, kann viele Vorteile mit sich bringen. Gerade dann, wenn wir von Digitalisierung sprechen, ist es gut, dass es standardisierte Vorgehensweisen gibt. Allerdings gibt es auch gewisse Hürden: Nicht überall lässt sich die Datenschutz-Grundverordnung so einfach in das Unternehmen implementieren. Wenn das nötige Know-how fehlt oder die Unternehmensarchitektur nicht darauf ausgelegt ist, kann die Einhaltung der DSGVO schnell zu einer großen Schwierigkeit werden.

 

Dennoch ist es wichtig, entsprechende Maßnahmen zu ergreifen. Dazu gehören unter anderem folgende:

 

  • Überarbeitung der Datenschutzrichtlinien
  • Anpassung von Plug-ins und Cookies
  • Bereitung von Newsletter-Mailinglisten

 

Da die DSGVO teilweise sehr genaue Vorschriften beinhaltet, ist es nicht möglich, ohne Vorwissen ein solides Datenschutzkonzept auszuarbeiten. Was es braucht, sind Profis. Daher sollten Unternehmen mindestens auf einen Datenschutzbeauftragten setzen. Dieser hat die Aufgabe, sich um die Umsetzung von DSGVO-Maßnahmen zu kümmern und den Datenschutz zu überwachen.

 

Allerdings geht dies nicht alleine. Komplexe IT-Landschaften machen Datenschutzbeauftragten immer wieder einen Strich durch die Rechnung. Enterprise Architekten (EAs) kommen ins Spiel, die nicht wegzudenken sind, wenn es um die DSGVO geht.

 

Welche Rolle spielt die DSGVO für Enterprise Architekten?

 

Wo laufen die im Unternehmen erhobenen personenbezogenen Daten zusammen? Ganz genau: in der IT-Landschaft. Daten werden digital erhoben und gespeichert, sodass die DSGVO und die Enterprise Architektur untrennbar miteinander verbunden sind.

 

Enterprise Architekten sind mit der wichtigen Aufgabe betraut, die Datenschutzbeauftragten bei der Einhaltung von Compliance zu unterstützen. Dazu gewähren sie Einblicke in die Daten, Prozesse und Applikationen im Unternehmen. Denn nur wenn Datenschutzbeauftragte wissen, was tatsächlich mit den Daten passiert und wofür sie verwendet werden, können sie verstehen, warum bestimmte Datenschutzmaßnahmen erforderlich sind.

 

Enterprise Architekten sind auch diejenigen, die potenzielle Risiken, Sicherheitslücken und Verstöße aufdecken. Im nächsten Schritt können sie spezifische Technologien empfehlen, damit DSGVO-Maßnahmen entsprechend umgesetzt werden können. Dies ist ganz im Sinne des Datenschutzbeauftragten, da die Einhaltung der Richtlinien in seinem Verantwortungsbereich liegt.

 

Enterprise Architekten sind gerade deshalb wichtig in diesen Prozessen, da die Integration der DSGVO in eine bestehende Architektur gewisse Schwierigkeiten mit sich bringt. In manchen Fällen muss sie überarbeitet oder komplett neu gestaltet werden. Bestimmte EA-Tools und verschiedene Vorgehensweisen kommen zum Einsatz. Sie legen die Basis für die Einhaltung der DSGVO im Unternehmen.

 

Obwohl Enterprise Architekten so viele Aufgaben rund um die DSGVO übernehmen, arbeiten sie eng mit Datenschutzbeauftragten zusammen. Das bedeutet, dass sie nicht allein die Verantwortung für die korrekte Umsetzung tragen. Es ist wichtig, dass alle notwendigen Schritte abgesprochen und aufeinander abgestimmt werden. So kann eine wasserdichte DSGVO-Konformität sichergestellt werden. Enterprise Architekten verstehen sich somit eher als Bindeglied zwischen dem Datenschutzbeauftragten und dem Unternehmen.

 

Es ist daher aus vielen Gründen wichtig, sich einen Profi an Bord zu holen. Wenn die Rolle keinem internen Mitarbeiter übertragen werden kann, besteht auch die Möglichkeit von externer Hilfe. Dienstleister wie LUY haben sich auf die Business Architektur spezialisiert und können Sie dabei unterstützen, eine solide DSGVO-Implementierung vorzunehmen.

 

DSGVO-Konformität: Was können EA tun?

 

Enterprise Architekten spielen eine wichtige Rolle bei der Implementierung der DSGVO in das bestehende Architektur-Framework des Unternehmens. Sie stellen sicher, dass die Architektur dafür geeignet ist und dass die technischen Voraussetzungen erfüllt werden. Ein strukturierter Ansatz zum Umgang mit personenbezogenen Daten ist erforderlich. In der Theorie mag das einfach klingen, doch wie sieht das in der Praxis aus? Die Einführung der DSGVO lässt sich für Enterprise Architekten in 5 Schritte einteilen.

 

1. Schritt: Personenbezogene Daten identifizieren

 

Der erste Schritt der DSGVO-Implementierung besteht für Enterprise Architekten darin, die Daten zu identifizieren, die gemäß der Datenschutzgrundverordnung in die Kategorie „personenbezogen“ fallen. Das ist wichtig, da Daten in verschiedene Klassen eingeteilt werden und daher unterschiedliche Datenschutzgrade aufweisen. Ideal ist es, wenn Unternehmen die verarbeiteten Daten mit speziellen Tags versehen, zum Beispiel „Vertraulichkeit“, „Integrität“ oder „Verfügbarkeit“.

 

2. Schritt: Information über die Erhebung und Verarbeitung von Daten

 

Gemäß der DSGVO müssen Personen darüber in Kenntnis gesetzt werden, wenn ein Unternehmen ihre Daten erhebt oder verwendet. Eine schriftliche Einwilligung ist verpflichtend. Daher sollten Enterprise Architekten für die DSGVO-Implementierung sicherstellen, dass diese Einwilligung tatsächlich vorhanden ist. Wenn sie es nicht ist, dürfen die Daten nicht verwendet werden.

 

3. Schritt: Nutzung der personenbezogenen Daten analysieren

 

In jedem Unternehmen gibt es andere Geschäftsprozesse, weshalb auch die Nutzung personenbezogener Daten recht unterschiedlich ausfallen kann. Für die Einhaltung der DSGVO sollten Enterprise Architekten genau das unter die Lupe nehmen. So können sie mögliche Sicherheitsrisiken aufdecken und Lösungen entwickeln, die bestimmte Gefahren und Schwachstellen innerhalb der Architekturlandschaft minimieren.

 

4. Schritt: Systematische Kontrolle einführen

 

Damit Risiken und Gefahren immer dann auffallen, wenn sie auftreten – oder am besten noch davor! – müssen Enterprise Architekten entsprechende Kontrollmechanismen einführen. Dies ist eine wichtige Datenschutzmaßnahme, die die Einhaltung der DSGVO im Unternehmen sicherstellt.

 

5. Schritt: DSGVO implementieren

 

Der letzte Schritt der DSGVO-Implementierung besteht für Enterprise Architekten darin, tatsächlich tätig zu werden. Sie implementieren Sicherheitsüberprüfungen und Präventionsmaßnahmen, die individuell auf die erkannten potenziellen Risiken abgestimmt sind. Wichtig ist, dass EA in diesem Zuge transparent darstellen, inwieweit die Maßnahmen tatsächlich zur Einhaltung der DSGVO beitragen. Darüber gilt es, nicht nur das Unternehmen, sondern auch die Aufsichtsbehörden zu informieren.

 

Fazit

 

Gerade dann, wenn Geschäftsprozesse digitalisiert werden, ist es wichtig, einen Blick auf den Datenschutz zu werfen. Unternehmen sind dazu verpflichtet, DSGVO-konform zu handeln. Da es gerade die Enterprise Architekten sind, die mit entsprechenden Vorgängen zu tun haben, spielen Sie eine wichtige Rolle für den Datenschutz. Die DSGVO ist für Enterprise Architekten unverzichtbar.

Weiterlesen

TOGAF – Das Enterprise Architecture Framework für mehr Transparenz und Steuerung im Unternehmen
Was ist TOGAF, wie funktioniert das Framework und wie lässt es sich in der Praxis umsetzen? Ein klarer Leitfaden mit Praxisbezug und Einordnung der Rolle von LUY.
SaaS-Management: Den Überblick behalten, Kosten senken und Risiken vermeiden
Was effektives SaaS-Management ausmacht: Überblick über Herausforderungen, Strategien zur Steuerung und Einsparung sowie Einbindung von LUY zur Vermeidung von Schatten-IT.
Strategien zur IT-Kostensenkung
Dieser Beitrag zeigt, wie Unternehmen IT‑Kosten nachhaltig senken, ohne Innovation oder operative Leistung zu opfern. Mit praxisnahen Maßnahmen rund um Enterprise Architecture Management und Tools wie LUY.

LUY jetzt kennenlernen

Sie möchten wissen, wie LUY Ihre digitale Transformation unterstützt – und was das konkret kostet? Unser Team beantwortet Ihre Fragen und stellt Ihnen die passenden Optionen vor.
Demo anfordern
Diagramm der fachlichen Zuordnungen in einem Unternehmensarchitektur-Tool mit Blöcken für Geschäftsprozesse, Geschäftseinheiten, Capabilities, Produkte, Geschäftsobjekte, Informationsflüsse, Informationssysteme, IT-Services, technische Bausteine, Infrastrukturelemente und Projekte.