Datenschutz als wesentliches Element Ihrer Unternehmensführung
Im Zuge der ordnungsmäßigen Unternehmensführung sind alle Management-Entscheidungen davon gestützt, relevante Informationen zu erzielen. In Zeiten von Digitalisierung und Disruption ist es für Unternehmen daher unerlässlich, sich mit den Themen Datenschutz und Datensicherheit auseinanderzusetzen. Das große Potenzial, welches die einfache Zugänglichkeit von Informationen und Daten mit sich bringt, birgt daher auch etliche Herausforderungen und Risiken. Von der Informationserhebung über die Datenverarbeitung bis hin zur Weiterverbreitung gibt es für Unternehmen etliche Anforderungen zu beachten: Datenschutz-Grundverordnung, Datenschutzbeauftragte, IT-Sicherheit und Informationssicherheit sind nur einige der zu bedenkenden Themenbereiche wenn es darum geht, personenbezogene Daten zu schützen.
Die Umsetzung der datenschutzrechtlichen Anforderungen ist daher ein elementarer Teil einer erfolgreichen Unternehmensführung.
Dieses Ziel gilt nicht nur, weil die Einhaltung und Sicherstellung der Datenschutz-Compliance bereits von Gesetzes wegen in den Zuständigkeitsbereich der Führungsebene fallen − sondern auch, weil Kunden, Investoren und Mitarbeitende erwarten, dass Datenschutzrisiken erkannt und durch geeignete Maßnahmen mitigiert werden. Dabei spielt das von der Unternehmensführung gelebte und kommunizierte Leitbild zum Schutz personenbezogener Daten eine entscheidende Rolle.
Maßgeschneiderte Lösungen zur erfolgreichen Umsetzung der datenschutzrechtlichen Anforderungen stellen hierbei sicher, dass Datenschutz für das Unternehmen und damit auch für die Unternehmensführung
- Rechtssicherheit in Bezug auf Risiken in Gestalt von Sanktionen, Bußgeldern, Strafen, Reputationsschäden und Schadensersatzansprüchen Dritter bietet;
- Vertrauen bei Kunden, den eigenen Beschäftigten und Partnern aufbaut und weiter stärkt; und damit
- die Wettbewerbsfähigkeit für die Zukunft sicherstellt.
Eine klare Bekennung zur Datenschutz-Compliance durch die Unternehmensführung ist entscheidend, um das Verständnis für die Bedeutung der Datensicherheit in allen Bereichen des Unternehmens und bei allen Beschäftigten zu stärken.
Ihre Herausforderungen
Seit Geltung der Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO oder DS-GVO) müssen Unternehmen in allen Bereichen der internen Wertschöpfungskette identifizieren und dokumentieren, auf welcher Rechtsgrundlage, in welchem Umfang und zu welchen Zwecken personenbezogene Daten verarbeitet werden, um so die Sicherheit und den Schutz dieser personenbezogenen Daten gewährleisten und nachweisen zu können. Die Datenschutz-Grundverordnung fordert darüber hinaus, dass Unternehmen Prozesse, Arbeitsabläufe und unternehmensinterne Zuständigkeiten definieren, die unter anderem Risikoanalysen in Form von Datenschutz-Folgenabschätzungen sowie die Auskunftserteilung an betroffene Personen ermöglichen.
Eine der größten Herausforderungen der DSGVO ist die Implementierung eines Löschkonzepts bzw. Löschmanagements von personenbezogenen Daten. Die notwendige Datenklassifizierung, als auch die Definition von Aufbewahrungs- und Löschfristen solcher Informationen sind regelmäßig nur unter besonders hohem Zeit- und Kostenaufwand möglich. Das liegt zum einen daran, dass die meisten Unternehmen weder einen umfassenden Überblick über die technischen Datenverarbeitungen in den IT-Anwendungen und Datensystemen, noch eine die IT-Infrastruktur für eine vollständige Datendokumentation etabliert haben. Zum anderen stellt der durch die DSGVO inhaltlich strukturierte Begriff der personenbezogenen Daten eine große Herausforderung dar. Demnach umfasst er alle Informationen, die sich mittelbar auf eine identifizierte oder identifizierbare, natürliche Person beziehen.
Personenbezogene Daten umfassen somit u. a. IP-Adressen oder E-Mail-Adressen. Ausgehend von diesem regulatorischen Rahmen gewinnen weiterhin auch die Rolle des Datenschutzbeauftragten und die IT-Sicherheit zunehmend an Bedeutung, da der Datenschutz starke Synergien zum „emerging topic“ der Datensicherheit aufweist. Auch diese Themen werden allerdings – ähnlich der technischen Datenverarbeitung in IT-Systemen − von vielen Unternehmen noch nicht allumfassend überblickt.
Die genannten regulatorischen Herausforderungen sowie die daraus resultierenden Interdependenzen zu relevanten Aspekten eines wettbewerbsfähigen und zukunftsorientierten Geschäftsmodells, machen die DSGVO als Richtlinie für die europaweite Regelung des Datenschutzes bzw. der Datensicherheit zu einem sehr komplexen Compliance-Thema. Es stellt nicht nur rechtliche, sondern insbesondere auch technische und prozessuale Herausforderungen an Unternehmen und deren meist globale Netzwerke.
„Datenschutz sollte integraler Bestandteil Ihres Geschäfts sein – mit unserem Verständnis der Datenschutz-Risiken Ihres Geschäftsmodells, helfen wir Ihnen dabei, wirksame Maßnahmen auf operationaler Ebene in der Organisation zu verankern.“
Agiler Aufbau einer Datenschutzmanagementorganisation
Zum Inkrafttreten der DSGVO sah sich ein Automobilhersteller unter anderem mit der Herausforderung konfrontiert, die Anforderungen der Betroffenenrechte seiner Kunden, Mitarbeitenden und Geschäftspartner entlang der zahlreichen Fach- und Unterstützungsprozesse, IT-Systeme sowie entlang der beteiligten organisatorischen Einheiten umzusetzen. Durch die sehr hohe System- und Prozesskomplexität und hohe Anzahl der verarbeiteten Daten drohten Anfragen betroffener Personen (z. B. auf Auskunft, Zugriff oder Löschung von personenbezogenen Daten) nur mit extremen manuellen Aufwänden und mit vermeintlichen Verletzungen gesetzlicher Fristen bearbeitet werden zu können. Um Sanktionen durch Datenschutzbehörden zu vermeiden und Effizienzen im Datenmanagement zu fördern, wurde ein agiles Projekt zum Aufbau einer Datenschutzmanagementorganisation (DSMO) gestartet.
In dem dreijährigen Projekt unterstützte PwC bei der Identifikation und Dokumentation der zahlreichen Fachprozesse und verarbeiteten Daten. Ziel war die agile Konzeption und Entwicklung einer Datenschutzmanagement-Plattform. Mithilfe dieser Workflow-Plattform können Betroffenenanfragen nun teilautomatisiert entgegengenommen, validiert, kategorisiert und über Schnittstellen gezielt an die für die Anfrage betroffenen IT-Systeme und Fachbereiche weitergeleitet werden. Nach der Rückmeldung durch die Systeme und Fachbereiche werden wiederum teilautomatisiert Ergebnisberichte erstellt und über sicherere Kanäle an die Betroffenen überliefert.
Der Nutzen für den Mandanten resultierte neben der fachlichen Datenschutzexpertise und der agilen Methoden-Expertise vor allem in der hohen Prozessgestaltungskenntnis der beteiligten Mitarbeitenden sowie in der hohen Skalierbarkeit ihrer Kapazitäten.
Global Privacy Framework
Für den Aufbau eines neuen Geschäftsmodells für Direktkunden unterstützte PwC einen DAX 30 Mandanten. Dieser stand vor der Herausforderung, mithilfe von harmonisierten Prozessen und Frameworks zukünftig sowohl zugekaufte, als auch eigene Daten besser als bisher nutzen zu können. Während der konzerninterne Datenaustausch und die Datennutzung maximiert werden sollten, musste weltweit die Einhaltung der jeweiligen Datenschutzbestimmungen sichergestellt werden.
Durch die Definition und Analyse der für den Mandanten relevanten Use-Cases (und der im Zuge dessen genutzten digitalen Daten), sowie die Bestimmung von wesentlichen internationalen Datenschutzanforderungen, unterstützten wir unseren Mandanten bei der Erstellung eines globalen Datenschutz-Frameworks.
Dieses Framework ermöglicht die Umsetzung der Datenstrategie des Mandanten unter Einhaltung der Datenschutz-Compliance und internationaler regulatorischer Anforderungen. Weiterhin unterstützten wir den Mandanten bei der Entwicklung eines umfassenden globalen Datenbeschaffungs-Frameworks, welches den effizienten Einkauf von Daten sicherstellt.
Unser Mandant profitierte dabei nicht nur von unserer Datenschutz-Expertise und der Einbeziehung des internationalen Netzwerkes von PwC, sondern auch von der umfassenden Unterstützung bei der strategischen Ausrichtung des Projekts sowie der gezielten Einbindung von Subject Matter Experts.
DSGVO Readiness Assessment
Zum Inkrafttreten der DSGVO begleitete PwC ein führendes deutsches Handels- und Dienstleistungsunternehmen dabei, die einzelnen Konzern-Gesellschaften mit generischen Handlungsempfehlungen und Muster-Formularen bei der Umsetzung der DSGVO-Anforderungen zu unterstützen. Der Grad der Umsetzung sollte durch regelmäßige Self-Assessments der Gesellschaften durch den Konzern-Datenschutz kontrolliert und nachgehalten werden.
In dem 18-monatigen Projekt unterstützte PwC die Rechtsabteilung und den Konzern-Datenschutz bei der Umsetzungsprüfung der in den Handlungsempfehlungen vorgegebenen Maßnahmen und der Validierung der Rückmeldungen der Konzern-Gesellschaften hinsichtlich der DSGVO-Readiness. In an die jeweilige Gesellschaftsgröße und -struktur angepassten Workshops identifizierten wir Handlungsbedarfe in den über 80 Konzern-Gesellschaften und entwickelten gezielt Empfehlungen für geeignete Maßnahmen und der priorisierten Umsetzung der Anforderungen aus der DSGVO.
Die Umsetzung der Maßnahmen und Handlungsempfehlungen wurde bis zur vollständigen Umsetzung durch PwC betreut und gezielt durch die Durchführung von Stresstests (bspw. Auskunftsanfragen oder fiktive Behördenanfragen) validiert.
Der Mandant profitierte im Projektverlauf neben der strukturierten und systematischen Durchführung der Workshops vor allem von der umfassenden und fachlich übergreifenden Expertise von PwC. Durch die Zusammenarbeit der verschiedenen Bereiche konnten sowohl die Umsetzung der rechtlichen Anforderungen, als auch prozessuale Sachverhalte beraten, validiert und optimiert werden.
Der Weg in eine datenschutzkonforme Zukunft
Bei der Umsetzung der datenschutzrechtlichen Anforderungen stehen wir Ihnen mit unserer umfassenden Datenschutzexpertise sowie verschiedener Kompetenzen unseres PwC-Netzwerks zur Seite. Für weitere Informationen kontaktieren Sie unsere Datenschutz-Experten.
„Wir unterstützen Sie bei der Implementierung und Ausgestaltung datenschutz-rechtlicher Anforderungen, wobei – über die DSGVO-Compliance hinaus – nicht nur die korrekte Datenverarbeitung, sondern das ganzheitliche Konstrukt der Datensicherheit adressiert wird.“
Auch interessant
Follow us
