Advertisement

HMD Praxis der Wirtschaftsinformatik

, Volume 55, Issue 5, pp 942–963 | Cite as

Datenschutzgrundverordnung (DSGVO): Bewältigung der Herausforderungen mit Unternehmensarchitekturmanagement (EAM)

  • Hasan KoçEmail author
  • Kai Eckert
  • Daniel Flaig
Schwerpunkt

Zusammenfassung

Datenschutz nimmt eine zunehmend größere Bedeutung in der modernen Datenverarbeitung ein. Seit dem 25. Mai 2018 müssen Unternehmen der EU-Datenschutz-Grundverordnung (EU-DSGVO) entsprechen. Ziel ist die Vereinheitlichung der Datenschutzgesetze aller 28 Mitgliedstaaten der EU. Unternehmen können bei Verstößen mit Bußgeldern bis zu 20 Mio. € oder vier Prozent des weltweiten Jahresumsatzes sanktioniert werden. Aktuelle Studien verdeutlichen, dass die Anzahl der Unternehmen, die den Vorgaben der EU-DSGVO entsprechen, gering ist. In diesem Zusammenhang stehen Unternehmen vor verschiedenen Herausforderungen, wie bspw. undeutliche Interpretationen der EU-DSGVO und die einhergehende Komplexität bei der Anwendung der Verordnung in der Praxis. Unternehmensarchitekturen liefern eine holistische Sicht auf wesentliche Artefakte einer Organisation. Dies geschieht durch eine Verknüpfung über verschiedene Ebenen (z. B. Business und IT). Diese Strukturen sind im Kontext der EU-DSGVO unerlässlich um festzuhalten, warum Daten verarbeitet werden und in welchen Systemen sie gespeichert sind. Vor diesem Hintergrund empfehlen wir, basierend auf den Konzepten des Unternehmensarchitekturmanagements, einen systematischen Ansatz zur Einführung eines DSGVO Projektes. Die vorgestellte Methode wird derzeit bei einem international führenden Softwarehersteller eingesetzt, unter Einhaltung des Design Science Research Paradigmas entwickelt, und evaluiert.

Schlüsselwörter

Unternehmensarchitekturmanagement Datenschutz Design science research DSGVO EAM Method engineering 

Challenging the General Data Protection Regulation (GDPR) with Enterprise Architecture Management (EAM)

Abstract

Data protection is playing an increasingly important role in modern data processing. Beginning with May 25, 2018, companies need to comply with General Data Protection Regulation (GDPR), a regulation to standardize the data protection laws across all 28 EU countries. In case of a noncompliance, the companies can be fined up to 4% of annual global turnover or €20 million. Recent studies show that the rate of the companies that put the GDPR requirements into practice is quite low. One challenge in this context is vague interpretations of GDPR and the complexity of applying the regulation in practice. Enterprise architectures deliver a holistic view of essential artefacts in an organization. This is achieved by relating information across different domains, e. g. Business and IT. In the GDPR context, such structures deem to be vital when it comes to documenting why the data is processed and in which systems it is stored. To this end, we propose a systematic approach on how to introduce a GDPR project in organizations drawing on the concepts of Enterprise Architecture Management. The approach, which is currently being used in an internationally leading software manufacturer, is developed and evaluated in line with design science research paradigm.

Keywords

Enterprise architecture management Privacy protection Design science research GDPR EAM Method engineering 

Literatur

  1. Alnemr R, Cayirci E, Dalla Corte L, Garaga A, Leenes R et al (2011) A data protection impact assesment metholodgy for cloud. https://pdfs.semanticscholar.org/5b74/2c82769c026f9c487d4d84d46f1ff86ea061.pdf. Zugegriffen: 19. Juni 2018Google Scholar
  2. Baskerville R (2008) What design science is not. Eur J Inf Syst 17(5):441–443CrossRefGoogle Scholar
  3. Berning W, Meyer K, Keppeler LM (2017) Datenschutz-konformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU DS-GVO. HMD 54(4):618–631CrossRefGoogle Scholar
  4. Bieker F, Friedewald M, Hansen M, Obersteller H, Rost M (2016) A process for data protection impact assessment under the European general data protection regulation. Privacy Technologies and Policy, S 21–37Google Scholar
  5. Datenschutz-Grundverordnung (DSGVO) (2018a) Art. 4 DSGVO – Begriffsbestimmungen. Datenschutz-Grundverordnung (DSGVO). https://dsgvo-gesetz.de/art-4-dsgvo/. Zugegriffen: 28. März 2018Google Scholar
  6. Datenschutz-Grundverordnung (DSGVO) (2018b) Art. 5 DSGVO – Grundsätze für die Verarbeitung personenbezogener Daten. Datenschutz-Grundverordnung (DSGVO). https://dsgvo-gesetz.de/art-5-dsgvo/. Zugegriffen: 3. Apr. 2018Google Scholar
  7. Datenschutz-Grundverordnung (DSGVO) (2018c) Art. 32 DSGVO – Sicherheit der Verarbeitung. Datenschutz-Grundverordnung (DSGVO). https://gdpr-info.eu/art-32-gdpr/. Zugegriffen: 18. Apr. 2018Google Scholar
  8. DIN-Norm 66398 (2018) Die Entwicklung eines Löschkonzepts. http://din-66398.de/. Zugegriffen: 19. Juni 2018Google Scholar
  9. Dresch A, Lacerda DP, Antunes JAV Jr (2015) Design science research: a method for science and technology advancement. Springer, Cham  https://doi.org/10.1007/978-3-319-07374-3 CrossRefGoogle Scholar
  10. European Union General Data Protection Regulation (EU-GDPR) (2018) EU GDPR News & Updates—European Union General Data Protection Regulation. https://eugdpr.com/. Zugegriffen: 3. Apr. 2018Google Scholar
  11. Feltus C, Grandry E, Kupper T, Colin J (2017) Model-driven approach for privacy management in business ecosystem. Proceedings of the 5th International Conference on Model-Driven Engineering and Software Development – 1, S 392–400Google Scholar
  12. Goldkuhl G, Lind M, Seigerroth U (1998) Method integration: the need for a learning perspective. IEE Proc Softw 145(4):113–118CrossRefGoogle Scholar
  13. Martin Y‑S, del Álamo JM (2017) A metamodel for privacy engineering methods. IWPE 2017 Internantional Workshop on Privacy Egineering. (http:\\ceur-ws.org/Vol-1873/IWPE17_paper_24.pdf)Google Scholar
  14. Moody D (2003) The method evaluation model: a theoretical model for validating information systems design methods. ECIS 2003 Proceedings. (http://aisel.aisnet.org/ecis2003/79)Google Scholar
  15. Peffers K, Tuunanen T, Rothenberger MA, Chatter-jee S (2007) A design science research methodology for information systems research. J Manag Inf Syst 24(3):45–77CrossRefGoogle Scholar
  16. De Weerd V, Souer J, Versendaal J, Brinkkemper S (2005) Situational Requirements Engineering of Web Content Management Implementations. SREP2005Google Scholar
  17. Zentrum für Europäische Wirtschaftsforschung (ZEW) (2018) Die Zeit drängt – Starker Nachholbedarf bei der Datenschutz-Grundverordnung. ZEW Branchenreport Informationswirtschaft. http://ftp.zew.de/pub/zew-docs/brepikt/201801BrepIKT.pdf. Zugegriffen: 17. Juni 2018Google Scholar

Copyright information

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018

Authors and Affiliations

  1. 1.BOC Information Technologies Consulting GmbHBerlinDeutschland

Personalised recommendations