Automatisierung der DSGVO-Konformität für KMU
Was haben Dienstleistende, die Gesundheits- und Sozialversicherungsdaten verarbeiten, der Autohandel, der mit seiner Kundschaft interagiert, und Immobilienbüros, die Clouddienste nutzen, gemeinsam? Seit Mai 2018 ist das die Allgemeine Datenschutz-Grundverordnung (DSGVO). Genauer gesagt die zusätzliche Belastung durch die Erstellung DSGVO-konformer Geschäftsprozesse. Das Problem ist zwar gut dokumentiert, jedoch noch lange nicht gelöst. Die Anforderungen der DSGVO zu erfüllen ist ganz und gar nicht einfach, insbesondere für KMU mit begrenzten Ressourcen und Kenntnissen. Tag für Tag stehen diese Unternehmen Fragen hinsichtlich der Auslegung der Bestimmungen und Anforderungen der DSGVO, ihrer betrieblichen Anpassung und den einzusetzenden angemessenen technischen Maßnahmen gegenüber. Auch die Beziehung zu Datensubjekten, die Durchsetzung ihrer Rechte, die Frage der Rechenschaftspflicht sowie die Verwaltung der Nachweise für die Konformität gestalteten sich nie zuvor so heikel. In diesem Zusammenhang konzipierte das Projekt BPR4GDPR seine Instrumente. „Wir erfanden die erste Instrumentensuite, welche die meisten Aspekte der DSGVO-Konformität in allen Lebenszyklusphasen eines Geschäftsprozesses berücksichtigen kann“, so Spiros Alexakis, Vorstandsmitglied von CAS Software und Koordinator von BPR4GDPR. „Diese Instrumente können Prozesse automatisch anpassen und umbilden, damit diese mit Datenschutzrichtlinien konform sind – sowohl während der Planung als auch bei der darauffolgenden Ausführung.“ BPR4GDPR nimmt im Grunde genommen den Großteil des Stresses durch die DSGVO auf sich, dem das Unternehmenspersonal ausgesetzt ist, ganz gleich wie weit dieses mit der Umsetzung gekommen ist. In der Planungsphase unterstützen die Instrumente und Lösungen des Projekts Unternehmen dabei, zu verstehen, welche vordefinierten Verhaltensweisen und Regeln nicht konform sind und wie diese angepasst werden können. In der Ausführungsphase bieten sie Lösungen zur Unterstützung oder Umsetzung der Datenschutzrichtlinien. Später helfen sie bei der Untersuchung und Analyse nicht konformer Umstände.
Verschiedene Möglichkeiten
Wie Alexakis anmerkt, liefert das Projekt vier Hauptergebnisse. „Zunächst wäre da die Ontologie der Konformität, ein umfassendes Rahmenwerk, das auf den Datenschutz ausgerichteten Zugriff bietet und die Nutzung kontrolliert. Dies steuert den gesamten Systembetrieb. Weiter gibt es eine auf den Datenschutz abgestimmte Umbildung der Geschäftsprozesse, die Prozessmodelle automatisch DSGVO-konform gestaltet. Das dritte Ergebnis ist ein Rahmenwerk zur Erkennung von Unstimmigkeiten bezüglich der Konformität, das vierte ein ‚Konformitätsinstrumentarium‘ für die Ausführungsphase. Es bietet typische Funktionalitäten, die zur Umsetzung der DSGVO-Maßnahmen erforderlich sind, darunter Instrumente zur Verschlüsselung, Anonymisierung und Datenverwaltung. Außerdem setzt es die Rechte der Datensubjekte um.“ Das Projektteam testete seine Lösungen in drei Pilotprojekten, deren Schwerpunkt jeweils auf vertraulichen Daten in den Bereichen Gesundheit und soziale Sicherheit, „Compliance-as-a-service“ (Konformität als Dienstleistung) für CRM-Dienste im Autohandel sowie bei Immobilienbüros, die Clouddienste nutzen, lag. „Die drei Pilotprojekte zeigen neben gemeinsamen Kernbedürfnissen verschiedene Anforderungen an die Konformität auf. In der ersten Runde erhielten wir wertvolles Feedback zur Funktionalität, Leistung und Anwendbarkeit, was dann während der zweiten Umsetzungsphase genutzt wurde. Derzeit führen wir die letzte Runde durch, deren Ziel es ist, die Lösungen ausführlich zu testen, die notwendigen Feinabstimmungen vorzunehmen und den Weg für die Nutzung der Ergebnisse nach Ende der Projektlaufzeit zu ebnen“, erläutert George Lioudakis, Mitbegründer von ICT Abovo und Betrauter für das Richtlinienrahmenwerk bei BPR4GDPR. Renata Medeiros de Carvalho, Assistenzprofessorin an der Technischen Universität Eindhoven und verantwortlich für die wissenschaftliche Koordinierung und Verbreitung von BPR4GDPR, ist besonders optimistisch über die Ergebnisse für Partner. „Wir haben alle verschiedene Erwartungen. Große Softwareunternehmen erwarten eine Umsatzsteigerung durch das Angebot von „Compliance-as-a-service“ oder durch die Einbettung der Konformitätsinstrumente in ihre Produkte. Indessen erwarten KMU in den Bereichen Technologie und Beratung eine flexible und kostengünstige Lösung zur Einbindung der Konformität in ihr Angebot. Das beteiligte Rechtswesen profitiert von einem neuen Beratungsinstrument für die Kodifizierung der Rechtsvorschriften sowie für die Bewertung und Umsetzung der Konformität. Schließlich überdenken die Pilotunternehmen jetzt ihre Herangehensweise an die Konformität.“ Jetzt, nur wenige Monate vor Projektabschluss, sagt Alexakis, dass das Projektteam sich darauf konzentrieren wird, tatsächlich eine Wirkung zu erzielen. Darunter fallen die Verbreitung der Projektergebnisse, die Interaktion mit Interessengruppen sowie die kommerzielle und nicht kommerzielle Nutzung der Projektergebnisse.
Schlüsselbegriffe
BPR4GDPR, DSGVO, Konformität, Automatisierung, KMU, Datenschutz