Das Global Chief Data Office von IBM entschied sich für IBM Data Risk Manager als visuelle Steuerzentrale für Führungskräfte und ihre Teams. Mit ihrem geschäftlich nutzbaren Dashboard unterstützt die Data Risk Manager-Lösung IBM bei der Identifizierung, Analyse und Visualisierung von Geschäftsrisiken rund um vertrauliche Daten, sodass frühzeitig Korrekturmaßnahmen eingeleitet werden können.
Unternehmen, die persönliche Daten von betroffenen Personen in der EU verarbeiten, müssen verschiedene Fragen beantworten können, um die DSGVO-Umsetzung zu gewährleisten: Welche Arten von Daten werden verarbeitet? Wo werden sie gespeichert? Wer ist der Eigentümer dieser Daten? Und welches Risiko ist mit der Verarbeitung verbunden?
Als Schlüsselelement der DSGVO-Referenzarchitektur von IBM und der allgemeinen Services hilft IBM Data Risk Manager dabei, datenbezogene Geschäfts- und Compliance-Risiken in einem geschäftlichen Kontext aufzuspüren, zu analysieren und zu visualisieren.
Datenrisiken für Tausende von Anwendungen und Terabytes von Daten
wichtige Informationen für die Beantwortung von Fragen bei Audits und die Erstellung von Berichten für Führungskräfte
von Geldstrafen, die aus der Nichteinhaltung der DSGVO und anderer Verordnungen resultieren können
Als globales Unternehmen, das in mehr als 170 Ländern tätig ist, beschäftigt sich IBM schon seit langer Zeit mit der Einhaltung von Datenschutzgesetzen und -vorschriften in aller Welt. Im April 2016 wurde die Datenschutz-Grundverordnung (DSGVO) der EU verabschiedet. Im Rahmen der Vorbereitung auf den Stichtag zur Umsetzung der Verordnung am 25. Mai 2018 nutzte IBM die Gelegenheit, seine Datenschutzpraktiken zu aktualisieren und seine Produkte und Services zu verbessern. Dafür wurden die Datenschutzvorschriften der DSGVO bei IBM weltweit als globales Transformationsprogramm eingeführt, das letztendlich allen Kunden zugute kommen sollte.
Dieses globale Programm umfasste neben zahlreichen Arbeitsschritten auch die Erfüllung der DSGVO-Anforderung, die besagt, dass man verstehen muss, welche Art von persönlichen Daten IBM kontrolliert, wo sich diese Daten befinden, wie sie verwendet werden und wer dafür verantwortlich ist. „Bei dieser Aufgabe mussten mehr als 6.500 Anwendungen im gesamten Unternehmen überprüft werden, von denen etwa 3.400 unter dem Gesichtspunkt der DSGVO kritisch waren“, sagt Neera Mathur, Senior Technical Staff Member im Global Chief Data Office.
Die Ergebnisse dieser Bemühungen wurden in einem zentralen Datenschutzkatalog gesammelt, was ein wichtiger erster Schritt auf dem Weg zur Umsetzung war. Es blieb jedoch eine Frage offen: Wie können die Risiken im Zusammenhang mit den DSGVO-relevanten Daten unter der Kontrolle von IBM identifiziert und bewertet werden, und wie können diese Informationen an die Führungskräfte des Unternehmens weitergegeben werden?
Das Global Chief Data Office von IBM wurde mit der Entwicklung einer Referenzarchitektur und einer Reihe allgemeiner Services zur Unterstützung von Geschäftsbereichen bei der Vorbereitung ihrer Datenspeicher auf die DSGVO beauftragt. Man entschied sich für IBM Information Governance Catalog als zentralen Speicher für die Datenschutzdaten (den Datenschutzkatalog) und IBM Data Risk Manager, um eine visuelle Steuerzentrale für Datenrisiken für Führungskräfte und ihre Teams bereitzustellen (das Dashboard zur Risikoregulierung).
Durch die Bereitstellung eines geschäftlich nutzbaren Dashboards hilft Data Risk Manager den Datenschutzbeauftragten und Datenverantwortlichen bei IBM auf allen Ebenen, datenbezogene Geschäftsrisiken aufzuspüren, zu analysieren und zu visualisieren, sodass frühzeitig Korrekturmaßnahmen eingeleitet werden können. In den Monaten vor dem Inkrafttreten der DSGVO konnte Data Risk Manager beispielsweise Aufschluss darüber geben, wann persönliche Daten in ein System mit besseren Schutzmechanismen verschoben, wann sie verschlüsselt oder wann sie ganz gelöscht werden müssen. Zu den Visualisierungen gehören Zuordnungen der Datenspeicherorte sowie Grafiken, die sich auf Risiken und Schwachstellen konzentrieren.
Anhand der im Datenschutzkatalog gesammelten Informationen auf Speicher- und Anwendungsebene kann Data Risk Manager heute Antworten auf die grundlegenden Fragen geben, die eine Aufsichtsbehörde stellen würde: Welche persönlichen Daten haben Sie? Wofür werden sie verwendet? Welche Anwendungen, Geschäftsprozesse und Personen haben Zugriff auf diese Daten? Wer ist der Eigentümer dieses speziellen Datenspeichers? Und wo befindet er sich? Bei Änderungen am Datenschutzkatalog werden die aktualisierten Informationen im Dashboard angezeigt. Dadurch wird die Einhaltung mehrerer Datenschutzbestimmungen, einschließlich der DSGVO, gewährleistet.
Data Risk Manager kann auf globaler Ebene im gesamten Unternehmen, nach Geschäftsbereich oder nach Anwendung eingesetzt werden, sodass die Benutzer nur die für ihre Rolle relevanten Daten sehen können. Der Chief Privacy Officer und der Data Privacy Officer von IBM können beispielsweise den Status vertraulicher personenbezogener Daten für den gesamten IBM Konzern einsehen, während ein Datenschutzbeauftragter für einen bestimmten Geschäftsbereich nur die Daten sehen kann, die für seinen Bereich oder Standort relevant sind.
„IBM ist ein sehr vielfältiges Unternehmen mit vielen Geschäftsbereichen und Tausenden von Anwendungen, die personenbezogene Daten verarbeiten. Data Risk Manager hat uns zusammen mit dem Information Governance Catalog geholfen, vertrauenswürdige Daten in kürzester Zeit zu visualisieren und zu verwalten“, sagt IBM Chief Data Officer Inderpal Bhandari.
Als Schlüsselkomponente der allgemeinen Service-Referenzarchitektur für die DSGVO von IBM unterstützt Data Risk Manager die Datenschutzbeauftragten im gesamten Unternehmen. So ermöglicht die Lösung zum Beispiel die Erstellung von Berichten über Datenrisiken und die Einhaltung der DSGVO sowie anderer Datenschutzverordnungen. Außerdem kann Data Risk Manager zur Beantwortung von Informationsanfragen von Prüfern oder Einzelpersonen innerhalb des Unternehmens verwendet werden.
Durch die Visualisierung von Risiken können diese leicht identifiziert, von Führungskräften problemlos nachvollzogen und angemessen behandelt werden. Data Risk Manager kann IBM so dabei helfen, Geldstrafen zu vermeiden, die bei Nichteinhaltung von Datenschutzbestimmungen, einschließlich der DSGVO, drohen.
IBM ist ein ausgewiesener Vorreiter im Bereich des Datenschutzes und hält Datenschutzgesetze auf der ganzen Welt ein. Im Rahmen des kontinuierlichen Engagements von IBM für „Privacy by Design“ hat IBM die Datenschutzprinzipien noch stärker in seine Geschäftsprozesse, Produkte und Services integriert, damit unsere Kunden ihre eigenen Datenschutzziele besser erreichen können. Zusätzlich zur verbesserten Sicherheit bietet IBM innovative Datenschutz- und Governance-Lösungen, die Kunden und Partner bei der Einhaltung der DSGVO unterstützen können. Erfahren Sie hier mehr über IBMs eigene DSGVO-Umsetzung und unsere DSGVO-Funktionen und -Angebote zur Unterstützung Ihrer Compliance-Journey.
Rechtshinweise
© Copyright IBM Corporation 2018. IBM Security, 75 Binney Street, Cambridge MA 02142, USA
Hergestellt in den Vereinigten Staaten von Amerika. August 2018
IBM, das IBM Logo und ibm.com sind Marken der IBM Corporation in den USA und/oder anderen Ländern. Weitere Produkt‐ und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite „Copyright- und Markeninformationen“ unter ibm.com/trademark.
Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Die genannten Kundenbeispiele dienen ausschließlich zur Veranschaulichung. Tatsächliche Leistungsergebnisse hängen von den jeweiligen Konfigurationen und Betriebsbedingungen ab.
Es liegt in der Verantwortung der Anwender, die Nutzbarkeit anderer Produkte oder Programme neben den Produkten und Programmen von IBM zu evaluieren und verifizieren.
DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER GARANTIE ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Garantie für Produkte von IBM richtet sich nach den Geschäftsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.
Erklärung zu guten Sicherheitsverfahren: IT-Systemsicherheit umfasst den Schutz von Systemen und Informationen durch Prävention, Erkennung und Reaktion auf unzulässigen Zugriff innerhalb und außerhalb Ihres Unternehmens. Unbefugter Zugriff kann dazu führen, dass Informationen verändert, vernichtet oder unsachgemäß gebraucht werden. Er kann auch zu Schäden an Ihrem System oder zum Missbrauch davon, u. a. im Rahmen von Angriffen gegen Dritte, führen. Kein IT-System oder -Produkt darf als vollkommen sicher betrachtet werden und es gibt kein Produkt, keine Dienstleistung und keine Sicherheitsmaßnahme, das bzw. die alleine vollständig vor einer unsachgemäßen Verwendung oder unbefugtem Zugriff schützen kann. Die Systeme und Produkte von IBM werden als Teil eines umfassenden Sicherheitsansatzes konzipiert. Daran sind notwendigerweise weitere Betriebsverfahren beteiligt und es können weitere Systeme, Produkte oder Dienstleistungen erforderlich sein, um eine möglichst hohe Effektivität zu erzielen. IBM übernimmt keine Gewähr dafür, dass Systeme und Produkte gegen böswilliges oder illegales Verhalten einer Partei gesichert sind.
Die Kunden sind selbst für die Einhaltung der verschiedenen Gesetze und Vorschriften verantwortlich, einschließlich der Datenschutz-Grundverordnung der Europäischen Union. Die Kunden sind allein dafür verantwortlich, sich von einem kompetenten Rechtsbeistand beraten zu lassen, wenn es um die Identifizierung und Auslegung relevanter Gesetze und Vorschriften geht, die sich auf das Geschäft der Kunden auswirken können, sowie darum, welche Maßnahmen die Kunden gegebenenfalls ergreifen müssen, um diese Gesetze und Vorschriften einzuhalten. Die hier beschriebenen Produkte, Services und sonstigen Leistungen sind nicht für alle Kundensituationen geeignet und können eingeschränkt verfügbar sein. IBM bietet keine Rechts-, Buchhaltungs- oder Wirtschaftsprüfungsberatung an und gewährleistet nicht, dass seine Services oder Produkte die Einhaltung von Gesetzen oder Vorschriften durch den Kunden sicherstellen.
Erfahren Sie hier mehr über IBMs eigene DSGVO-Umsetzung und unsere DSGVO-Funktionen und -Angebote zur Unterstützung Ihrer Compliance-Journey.