Datensicherheit – Ein weiterer Treiber der digitalen Transformation
EU-DSGVO und GDPR sind Schlagworte. Schlagworte, die zurzeit viel Druck aufbauen. Dem Druck auszuweichen gilt aber nicht. Von den neuen Herausforderungen werden die Unternehmen profitieren, die sie für eine Digitalisierung ihres Unternehmens nutzen. Denn die steigenden Anforderungen an Informationssicherheit erfordern durchgängig automatisierte Geschäftsprozesse vom Front-End bis zum Core-Bereich. Sie schaffen auch einen guten Anlass, bisher vergessene Hausaufgaben bei der Inventur der Datenbestände zu erledigen, um diese über Datenmodelle mit neuen, automatisierten Geschäftsprozessen zu verknüpfen.
Den Druck, den in Zukunft auch einzelne EU-Bürger auf Unternehmen ausüben können, darf niemand unterschätzen. Wenn ein Bankkunde zum Beispiel sein Konto auflöst, bestehen für das Kreditinstitut kein Anlass und damit keine Erlaubnis mehr, die Daten weiter zu speichern und zu nutzen. Auch erklärt der Kunde zugleich, dass er keine Informationen von der Bank mehr erhalten will. In Instituten, die ihre Geschäftsprozesse nicht durchgängig digitalisieren und automatisieren droht die Gefahr, dass seine Anfrage zwar aufgenommen, aber nicht an die zuständige Abteilung weitergeleitet wird.
Nicht integrierte Datenmodelle, mangelhaft verzahnte Anwendungen oder unterschiedliche Systeme zur Verwaltung von Kundenidentitäten können dazu führen, dass der Wunsch des Kunden ignoriert wird und dieser sich gegen seinen Willen weiter auf dem Mailing-Verteiler befindet. Die Mail belegt, dass die Bank Daten besitzt, die sie eigentlich nach den Grundsätzen der EU-DSGVO – nur Daten für die Dauer der Verwendung vorzuhalten, im Zusammenhang ihrer Entstehung verwenden zu dürfen und ansonsten das Datenaufkommen zu minimieren – nicht mehr besitzen darf. Ab Mai 2018 ist die Nachricht an den verlorenen Kunden kein bloßes Versehen mehr, sondern ein Verstoß gegen die EU-DSGVO, der empfindliche Strafen nach sich zieht.
Digitale Transformation zur Sicherung der EU-DSGVO-Compliance
Die Einhaltung komplexer und strenger Datenschutzregelungen kann bei stets und rasant wachsenden Datenmengen nur noch durch automatisierte Prozesse hinreichend sicher gewährleistet werden. Eine Privacy-Governance- und Workflow-Plattform ermöglicht es Unternehmen, die neuen Anforderungen zu erfüllen, was das Risiko von Strafzahlungen aufgrund von Vergehen gegen den verschärften Datenschutz minimiert. Eine solche Plattform bildet Funktionen zur Definition von Geschäftsprozessen hinsichtlich der Datenintegration, Datenauskunft, Datenlöschung und des Datentransfers ab. Folgende Beispiele illustrieren eine digitale Transformation hin zu sicheren Geschäftsprozessen durch Business-Prozess-Modelling:
Anwendungsbeispiel 1 – Datenauskunft
In diesem Geschäftsprozess kann der Kunde über das Self-Service-Portal eines Unternehmens eine Datenauskunft beantragen. Ein definierter automatisch ablaufender digitaler Geschäftsprozess sammelt die angeforderten Daten und erstellt auf dieser Basis einen Adhoc-Report in Echtzeit über die im Unternehmen hinterlegten Informationen des Kunden.
Anwendungsbeispiel 2 – Datenlöschung
Der Kunde bekommt im Self-Service-Portal eines Unternehmens die Möglichkeit, selektiv oder vollständig die über ihn hinterlegten persönlichen Daten löschen zu lassen. Durch den automatisierten Geschäftsprozess wird dieser Auftrag aus dem Portal aufgenommen, die Daten zur Person in allen Systemen und Archiven gelöscht und eine Übersicht der gelöschten Informationen zum Beispiel als PDF-Download geliefert.
Anwendungsbeispiel 3 – Datenmigration
Der Kunde will die Geschäftsbeziehung mit einem Unternehmen kündigen und zu einem anderen Anbieter wechseln. Ein automatisierter Geschäftsprozess stellt eine Schnittstellen-Umgebung bereit, die es dem Kunden über das Self-Service-Portal erlaubt, die Migration der Daten zu seiner Person zu beantragen. Im nächsten Schritt stellt der Prozess die Daten zusammen und transferiert sie zum neuen Anbieter. Nach erfolgreich abgeschlossenem Transfer werden die Datenbestände beim ursprünglichen Anbieter datenschutzkonform gelöscht.
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.
Ein Kunde beschwert sich über das Self-Service-Portal, das Call Center oder in einer Filiale über die Speicherung persönlicher Daten. Mit einem automatisierten Geschäftsprozess kann ein Case erstellt werden, der mit hinterlegten Service Level Agreements dafür sorgt, dass der Einwand des Kunden durch die richtige Abteilung rechtskonform bearbeitet wird.
Anwendungsbeispiel 5 – Globale Datengovernance
Eine Automatisierungslösung unterstützt Unternehmen bei der Steuerung ihrer Geschäftsprozesse und erweitert dabei die vorhandene Infrastruktur um eine umfassende, globale Data-Governance. Die durch die Lösung definierten Prozesse sorgen dafür, dass an entsprechenden Stellen nur die Daten gespeichert werden, die zwingend notwendig sind und anonymisieren diese, wenn möglich. Gleichzeitig wird ein Audit-Trail geschrieben, das im Falle einer Revision sofort Auskunft darüber gibt, welche Daten wie und wo gespeichert worden sind.
Organisationen drohen beim Verstoß gegen die EU-DSGVO ab Mai 2018 deutlich erhöhte Strafen: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr. Festgelegt wird immer die jeweils größere Summe. Jeder Fehler und jedes Versehen kann also sehr teuer werden – die Fehlervermeidung muss daher automatisiert werden.
Über den Autor
Gerhard Unger ist General Manager DACH bei Bizagi. Das bereits 1989 gegründete Unternehmen hat sich allmählich zum Spezialisten für Business Process Management entwickelt und wurde 2010 von Gartner erstmals in dessen Magic Quadrant für BPM-Suiten erwähnt. Seit 2016 wird mit Bizagi 11 eine digitale Geschäftsplattform angeboten. Das Angebot wird von Forrester Bereich im Low-Code Rapid Application Development als stark eingeschätzt, laut Gartne rist Bizagi der einzige Herausforderer im Magic Quadrant für iBPMS.
Gerhard Unger war vor seinem Wechsel zu Bizagi als Vice President Commercial EMEA bei Intralinks tätig. Er blickt auf über 25 Karriere in der IT-Branche zurück und verantwortete in der Zeit den Vertrieb für große Technologie-Unternehmen wie Riverbed Technology und Huawei im europäischen Raum. Unger hat ein Physik-Studium an der Hochschule München als Diplomingenieur abgeschlossen.