Data Governance & Compliance als entscheidender Wettbewerbsvorteil

Ihr Experte für Fragen

Kathrin Kersten

Kathrin Kersten
Partner Risk Assurance Solutions bei PwC Deutschland
Tel.: +49 69 9585-1201
E-Mail

Daten sind die Treiber unseres Handelns

Seien es Richtlinien zur guten Arbeitspraxis (GxP), der Health Insurance Portability and Accountability Act (HIPAA), BASEL I bis IV, die Datenschutzgrundverordnung (DSGVO) oder interne Compliance-Richtlinien – die Welt der Regularien, an die sich Unternehmen und ihre Mitarbeiter bei der Handhabung von Daten halten müssen, wird zunehmend komplexer und unübersichtlicher. Umso wichtiger wird es für Unternehmen, ein ganzheitliches Management von Daten (Data Governance-Framework) aufzubauen, sodass sie zielgerichtet die Arten und Kategorien der verwendeten Daten, deren Qualität, Schutz und Sicherheit gewährleisten können. Richtlinien und definierte Prozesse sorgen dafür, dass rechtliche Vorgaben eingehalten und Synergien im Unternehmen genutzt werden können.

Zahlen & Fakten - Schaffung neuer Wege für Innovationen

Ca. 80 %

der Führungskräfte sehen einen Verlust des Wettbewerbsvorteils bei ineffektiver Datennutzung.

Über 50 %

der Unternehmen verfügen nicht über ein formales Data Governance-Framework.

Ca. 49 %

der Führungskräfte erkennen eine deutliche Möglichkeit der Kostensenkung bei gutem Daten-management.

Bis zu 200%

Wachstum im Vergleich zum Branchendurchschnitt bei gutem Datenmanagement.


Unser Angebot zum Management Ihrer Datenrisiken

Nutzen Sie unser ganzheitliches Angebot und lassen Sie Data Governance zu Ihrem Instrument der Zukunft werden. Wir führen auf Wunsch effiziente Maturity Assessments (Statusanalysen) durch, entwickeln Umsetzungsmaßnahmen und implementieren diese gemeinsam mit Ihnen. Für die Prüfung Ihrer Compliance mit den unterschiedlichen für Sie relevanten Regularien bzgl. des Umgangs mit Daten arbeiten wir nach internationalen Standards und setzen das beste Know-how aus den Bereichen der Compliance, der Informationstechnik und des technischen Managements ein. Mögliche Ansatzpunkte für die Gestaltung Ihres individuellen Data Governance-Frameworks finden Sie in der folgenden Grafik:

Organisation & Strategie

Definition der Unternehmensstrategie und Anpassung der Organisationsstruktur (inkl. des QM) zur optimalen Erreichung der Unternehmensziele.

 

View more

Prozesse

Optimierung von Prozessen im Bereich der Datenverarbeitung, auch bezüglich des Qualitätsmanagements, zur effizienteren Nutzung der Daten.

View more

Regulatorische Compliance

Schaffung eines Frameworks zur Einhaltung gesetzlicher und anderer regulatorischer Anforderungen – und damit Reduzierung des Risikos und Vermeidung von Strafen.

 

View more

Risikomanagement

Frühzeitige Identifizierung von Risiken für das Unternehmen im Umgang mit Daten, u. a. auch durch die Entwicklung eines entsprechenden Frameworks und Einbeziehung des Qualitätsmanagements (QM).

View more

Datenqualität

Schaffung einer einheitlichen Basis für die Korrektheit, Relevanz und Verlässlichkeit der Daten als Basis für weitere (gewinnbringende) Nutzung für bestimmte Zwecke.

 

View more

Datenpflege

Strukturierung und Erleichterung der internen Datenhaltung (u.a. zur Vermeidung doppelter Datenhaltung und zur leichteren Auffindbarkeit).

View more

Datensicherheit & Datenschutz

Optimierung und Einhaltung des Schutzes der Unternehmensdaten sowie der verknüpften Personen (bspw. durch regelmäßige Awareness-Maßnahmen oder durch Anpassung der Technik).

View more

Policies

Einhaltung interner Vorgaben (Richtlinien, Arbeits-/Dienstanweisungen, etc.) und externer Anforderungen der Kunden und Auftraggeber an das Unternehmen.

View more

Maturity Assessment

Jeder Geschäftsprozess und jedes IT-System verarbeitet Daten. Dabei ist es unerheblich, ob es sich z. B. um personenbezogene Daten, technische Daten oder Finanzdaten handelt. Die Vielzahl an nationalen und internationalen Regularien, internen Richtlinien und externen Kundenanforderungen an das Datenmanagement stellen einen hohen Anspruch an die Data Governance, da deren Nichteinhaltung hohe Strafen und Reputationsschäden nach sich ziehen könnte. Potenzielle Lücken gilt es daher unternehmensseitig zu erfassen und zu schließen.

Wir prüfen Ihre Data Governance-Organisation und deren Konzeption auf Konformität mit den relevanten Anforderungen im Rahmen unseres qualifizierten Maturity Assessments.

Prüfung

Adäquate Nachweise über die Einhaltung von internen (bspw. Compliance-Richtlinie, Code of Ethics oder Code of Conduct) oder externen Regularien (HIPAA, GxP, SOX, DSGVO, etc.) werden für Unternehmen und ihre Dienstleister immer wichtiger und zunehmend als Basis einer vertrauensvollen Geschäftsbeziehung gesehen.

Lassen Sie vorhandene Strukturen, Unternehmensrichtlinien und Vorgaben mit dem Fokus auf Data Governance beispielsweise als Bestandteil der Prüfung des Compliance Management Systems (nach IDW PS 980) analysieren. Auch die Prüfung nach dem International Standard on Assurance Engagements (ISAE) 3000 (Revised) einzelner Teilbereiche ist jederzeit möglich, ebenso wie eine Revisionsprüfung im Auftrag Ihrer internen Revisionsabteilung. Welchen Reifegrad die entsprechende Prüfung – im Vergleich zu einer DIN/ISO-Zertifizierung – haben kann, sehen Sie in der folgenden Abbildung:

Compliance Ihrer Dienstleister

Diese Frage beschäftigt Unternehmen ebenfalls zunehmend. Eine negative mediale Wirkung beim Einsatz von Dienstleistern und Geschäftspartnern kann für das eigene Unternehmen verheerende Folgen haben, weshalb immer mehr Unternehmen zu einem gemeinsamen Regelwerk in Geschäftsbeziehungen übergehen, das über den Standard-Vertrag hinausgeht. Ob es sich dabei um einen eigenen Code of Conduct, einen Code of Ethics, einen Auftragsverarbeitungsvertrag (AVV), weitere Compliance Agreements (bspw. eine Supplier Security and Privacy Assurance (SSPA von Microsoft)) handelt: die Prüfung der eingesetzten Dienstleister oder Geschäftspartner ist nach dem ISAE 3000 (Revised) – mit dem Inhalt Ihrer individuellen Anforderungen – und einer entsprechenden Attestierung möglich.

Besonderer Fokus: Cloud Service Provider

Besonders für Cloud-Anbieter war es bislang schwierig, sich von unabhängigen Stellen bescheinigen zu lassen, dass ihre einzelnen Cloud-Dienste besonderen Anforderungen, wie bspw. der Datenschutz-Grundverordnung, gerecht werden. An dieser Stelle setzt das Forschungsprojekt „AUDITOR“ (European Cloud Service Data Protection Certification) an. Ziel ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutz-Zertifizierung von Cloud-Diensten gem. Art. 42 DSGVO, die Datenverarbeitungsvorgänge im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO durchführen.

Mehr erfahren

Dank unseres umfangreichen Wissens aus verschiedensten Branchen sowie der Möglichkeit, jederzeit Juristen und andere Experten hinzuzuziehen, können wir Sie bei der Prüfung der Compliance zu den Regularien im eigenen Unternehmen oder bei Ihren Dienstleistern (auch bei datenschutzrechtlich relevanten Auftragsverarbeitern) unterstützen – oder diese als unabhängiger Dritter vollständig für Sie durchführen.

Data Governance-Beratung

Selbstverständlich unterstützen und beraten unsere Data Governance-Experten Sie bei den notwendigen Umsetzungsschritten zum Aufbau einer Data Governance-Organisation. Ob beispielsweise bei der Planung, Entwicklung oder Implementierung von Richtlinien, von Organisationsstrukturen oder Konzepten, beispielsweise zum Datenschutz oder zum Umgang mit dem Löschen von Daten. Wir helfen Ihnen gerne.

In unserer Handreichung „Löschen von personenbezogenen Daten nach DSGVO“ finden Sie beispielsweise wertvolle Informationen zur Erstellung allgemeiner Löschkonzepte. Einen Auszug aus der Handreichung finden Sie hier, die vollständige Handreichung können Sie kostenlos hier herunterladen.

Auch bei einzelnen Fragestellungen wie beispielsweise zu den Grundsätzen regulierungsspezifischer Datenhaltung geben wir fachmännischen Rat. Gerne unterstützen wir auch die entsprechenden Stakeholder Ihres Unternehmens, wie zum Beispiel den Compliance Officer, den Datenschutzbeauftragten (DSB), den Informationssicherheitsbeauftragten (ISO) oder den Leiter Ihrer Internen Revision, wenn es um Fachexpertise, Coaching, die Prüfung der internen Data Governance-Strukturen oder die Übernahme spezieller Funktionen geht.

Wir haben die richtige Lösung für Sie!

Sie haben Fragen?

Kontaktieren Sie unsere Expertin

Weitere Services in diesem Bereich

Cyber Security Economics Immobilien Informationstechnologie Intelligente Prozessoptimierung Interne Revision Nachhaltigkeit Operations Personal Projekt- und Change-Management Strategy& Risk Management Transformation Assurance

Auch interessant

Contact us

Kathrin Kersten

Kathrin Kersten

Partnerin, Internal Audit & GRC, PwC Germany

Tel.: +49 69 9585-1201

Linkedin Follow E-Mail
Follow us
Standorte Kontakt PwCPlus EU-DSGVO: Einwilligung Sitemap

© 2017 - 2021 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.