Ihr Experte für Fragen
Kathrin Kersten
Partner Risk Assurance Solutions bei PwC Deutschland
Tel.: +49 69 9585-1201
E-Mail
Seien es Richtlinien zur guten Arbeitspraxis (GxP), der Health Insurance Portability and Accountability Act (HIPAA), BASEL I bis IV, die Datenschutzgrundverordnung (DSGVO), das Gesetz zum Schutz von Geschäftsgeheimnissen oder interne Compliance-Richtlinien – die Welt der Regularien, an die sich Unternehmen und ihre Mitarbeiter bei der Handhabung von Daten halten müssen, wird zunehmend komplexer und unübersichtlicher. Umso wichtiger wird es für Unternehmen, ein ganzheitliches Management von Daten (Data Governance-Framework) aufzubauen, sodass sie zielgerichtet die Arten und Kategorien der verwendeten Daten, deren Qualität, Schutz und Sicherheit gewährleisten können. Richtlinien und definierte Prozesse sorgen dafür, dass rechtliche Vorgaben eingehalten und Synergien im Unternehmen genutzt werden können.
der Führungskräfte sehen einen Verlust des Wettbewerbsvorteils bei ineffektiver Datennutzung.
der Unternehmen verfügen nicht über ein formales Data Governance-Framework.
der Führungskräfte erkennen eine deutliche Möglichkeit der Kostensenkung bei gutem Datenmanagement.
Wachstum im Vergleich zum Branchendurchschnitt bei gutem Datenmanagement.
Nutzen Sie unser ganzheitliches Angebot und lassen Sie Data Governance zu Ihrem Instrument der Zukunft werden. Wir führen auf Wunsch effiziente Maturity Assessments (Statusanalysen) durch, entwickeln Umsetzungsmaßnahmen und implementieren diese gemeinsam mit Ihnen. Für die Prüfung Ihrer Compliance mit den unterschiedlichen für Sie relevanten Regularien bzgl. des Umgangs mit Daten arbeiten wir nach internationalen Standards und setzen das beste Know-how aus den Bereichen der Compliance, der Informationstechnik und des technischen Managements ein. Mögliche Ansatzpunkte für die Gestaltung Ihres individuellen Data Governance-Frameworks finden Sie in der folgenden Grafik:
Definition der Unternehmensstrategie und Anpassung der Organisationsstruktur (inkl. des QM) zur optimalen Erreichung der Unternehmensziele.
Optimierung von Prozessen im Bereich der Datenverarbeitung, auch bezüglich des Qualitätsmanagements, zur effizienteren Nutzung der Daten.
Schaffung eines Frameworks zur Einhaltung gesetzlicher und anderer regulatorischer Anforderungen – und damit Reduzierung des Risikos und Vermeidung von Strafen.
Frühzeitige Identifizierung von Risiken für das Unternehmen im Umgang mit Daten, u. a. auch durch die Entwicklung eines entsprechenden Frameworks und Einbeziehung des Qualitätsmanagements (QM).
Schaffung einer einheitlichen Basis für die Korrektheit, Relevanz und Verlässlichkeit der Daten als Basis für weitere (gewinnbringende) Nutzung für bestimmte Zwecke.
Strukturierung und Erleichterung der internen Datenhaltung (u.a. zur Vermeidung doppelter Datenhaltung und zur leichteren Auffindbarkeit).
Optimierung und Einhaltung des Schutzes der Unternehmensdaten sowie der verknüpften Personen (bspw. durch regelmäßige Awareness-Maßnahmen oder durch Anpassung der Technik).
Einhaltung interner Vorgaben (Richtlinien, Arbeits-/Dienstanweisungen, etc.) und externer Anforderungen der Kunden und Auftraggeber an das Unternehmen.
Jeder Geschäftsprozess und jedes IT-System verarbeitet Daten. Dabei ist es unerheblich, ob es sich z. B. um personenbezogene Daten, technische Daten oder Finanzdaten handelt. Die Vielzahl an nationalen und internationalen Regularien, internen Richtlinien und externen Kundenanforderungen an das Datenmanagement stellen einen hohen Anspruch an die Data Governance, da deren Nichteinhaltung hohe Strafen und Reputationsschäden nach sich ziehen könnte. Potenzielle Lücken gilt es daher unternehmensseitig zu erfassen und zu schließen.
Wir prüfen Ihre Data Governance-Organisation und deren Konzeption auf Konformität mit den relevanten Anforderungen im Rahmen unseres qualifizierten Maturity Assessments.
Adäquate Nachweise über die Einhaltung von internen (bspw. Compliance-Richtlinie, Code of Ethics oder Code of Conduct) oder externen Regularien (HIPAA, GxP, SOX, DSGVO, etc.) werden für Unternehmen und ihre Dienstleister immer wichtiger und zunehmend als Basis einer vertrauensvollen Geschäftsbeziehung gesehen.
Lassen Sie vorhandene Strukturen, Unternehmensrichtlinien und Vorgaben mit dem Fokus auf Data Governance beispielsweise als Bestandteil der Prüfung des Compliance Management Systems (nach IDW PS 980) analysieren. Auch die Prüfung nach dem International Standard on Assurance Engagements (ISAE) 3000 (Revised) einzelner Teilbereiche ist jederzeit möglich, ebenso wie eine Revisionsprüfung im Auftrag Ihrer internen Revisionsabteilung. Welchen Reifegrad die entsprechende Prüfung – im Vergleich zu einer DIN/ISO-Zertifizierung – haben kann, sehen Sie in der folgenden Abbildung:
Compliance Ihrer Dienstleister
Diese Frage beschäftigt Unternehmen ebenfalls zunehmend. Eine negative mediale Wirkung beim Einsatz von Dienstleistern und Geschäftspartnern kann für das eigene Unternehmen verheerende Folgen haben, weshalb immer mehr Unternehmen zu einem gemeinsamen Regelwerk in Geschäftsbeziehungen übergehen, das über den Standard-Vertrag hinausgeht. Ob es sich dabei um einen eigenen Code of Conduct, einen Code of Ethics, einen Auftragsverarbeitungsvertrag (AVV), weitere Compliance Agreements (bspw. eine Supplier Security and Privacy Assurance (SSPA von Microsoft)) handelt: die Prüfung der eingesetzten Dienstleister oder Geschäftspartner ist nach dem ISAE 3000 (Revised) – mit dem Inhalt Ihrer individuellen Anforderungen – und einer entsprechenden Attestierung möglich.
Besonderer Fokus: Cloud Service Provider
Besonders für Cloud-Anbieter war es bislang schwierig, sich von unabhängigen Stellen bescheinigen zu lassen, dass ihre einzelnen Cloud-Dienste besonderen Anforderungen, wie bspw. der Datenschutz-Grundverordnung, gerecht werden. An dieser Stelle setzt das Forschungsprojekt „AUDITOR“ (European Cloud Service Data Protection Certification) an. Ziel ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutz-Zertifizierung von Cloud-Diensten gem. Art. 42 DSGVO, die Datenverarbeitungsvorgänge im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO durchführen.
Dank unseres umfangreichen Wissens aus verschiedensten Branchen sowie der Möglichkeit, jederzeit Juristen und andere Experten hinzuzuziehen, können wir Sie bei der Prüfung der Compliance zu den Regularien im eigenen Unternehmen oder bei Ihren Dienstleistern (auch bei datenschutzrechtlich relevanten Auftragsverarbeitern) unterstützen – oder diese als unabhängiger Dritter vollständig für Sie durchführen.
Selbstverständlich unterstützen und beraten unsere Data Governance-Experten Sie bei den notwendigen Umsetzungsschritten zum Aufbau einer Data Governance-Organisation. Ob beispielsweise bei der Planung, Entwicklung oder Implementierung von Richtlinien, von Organisationsstrukturen oder Konzepten, beispielsweise zum Datenschutz oder zum Umgang mit dem Löschen von Daten. Wir helfen Ihnen gerne.
In unserer Handreichung „Löschen von personenbezogenen Daten nach DSGVO“ finden Sie beispielsweise wertvolle Informationen zur Erstellung allgemeiner Löschkonzepte. Sie können die vollständige Handreichung hier kostenlos herunterladen.
Auch bei einzelnen Fragestellungen wie beispielsweise zu den Grundsätzen regulierungsspezifischer Datenhaltung geben wir fachmännischen Rat. Gerne unterstützen wir auch die entsprechenden Stakeholder Ihres Unternehmens, wie zum Beispiel den Compliance Officer, den Datenschutzbeauftragten (DSB), den Informationssicherheitsbeauftragten (ISO) oder den Leiter Ihrer Internen Revision, wenn es um Fachexpertise, Coaching, die Prüfung der internen Data Governance-Strukturen oder die Übernahme spezieller Funktionen geht.
Wir haben die richtige Lösung für Sie!
Seit dem 25. Mai 2018 ist die Europäische Datenschutzgrundverordnung (DSGVO) für alle EU-Mitgliedstaaten verbindlich. Bei der Erfüllung der Anforderungen der DSGVO spielt der Datenschutzbeauftragte eine zentrale Rolle. Dessen bisherige Bestellpflicht wurde durch die europäische Gesetzgebung ebenfalls verschärft.
Die Aufgaben eines Datenschutzbeauftragten haben sich in diesem Zusammenhang erheblich erweitert. Neben der Hinwirkungspflicht zur Einhaltung des Gesetzes besteht nun auch eine Kontrollpflicht, ob die Vorgaben der Gesetzgebung auch tatsächlich eingehalten werden.
Durch die Bestellung von PwC als externen Datenschutzbeauftragten unterstützen wir Sie bei der Erreichung Ihrer Datenschutz-Ziele durch:
Unsere Aufgaben als externer Datenschutzbeauftragter und unsere wesentlichen Erfolgsfaktoren für eine gute Zusammenarbeit können Sie der folgenden Abbildung entnehmen:
Sie möchten mehr erfahren? Sprechen Sie uns an, wir beraten Sie gerne.
„In der Rolle als externer Datenschutzbeauftragter wollen wir Unternehmen als vertrauensvoller Partner dabei unterstützen, die Herausforderungen der DSGVO zu meistern und zugleich das volle Potential ihrer Daten und Digitalisierungsvorhaben auszuschöpfen!“