Titelaufnahme

Titel
Ein Modell zur Umsetzung der Datenschutzanforderungen in der Industrie
Weitere Titel
A model for implementing data protection requirements in industry
AutorInnenMolnár, Mercédesz
GutachterWolf, Martin ; Preßl, Beatrice
Erschienen2018
Datum der AbgabeOktober 2018
SpracheDeutsch
DokumenttypBachelorarbeit
Schlagwörter (DE)Datenschutz / Industrie / DSGVO / Three-Lines-of-Defense-Modell / IDW PS 980
Schlagwörter (EN)data protection / industry / GDPR / Three-Lines-of-Defense-Model / IDW PS 980
Zugriffsbeschränkung
 _
Klassifikation
Zusammenfassung (Deutsch)

Kontext und Fragestellung

Bedingt durch die Digitalisierung und globale Vernetzung von Systemen avancieren Daten zum wichtigen Wirtschaftsfaktor und werden Basis von neuen Geschäftsmodellen. Die Unmenge an produzierten Daten im Bereich der Industrie 4.0 erfordert ein solides Datenschutzverständnis. Zum Schutz der personenbezogenen Daten verabschiedete die EU-Kommission die Datenschutz-Grundverordnung (DSGVO), die seit 25. Mai 2018 in allen Mitgliedstaaten der EU unmittelbar wirksam ist.

Aufgrund des zunehmenden Einsatzes von automatisierten Anlagen und Sensorik stehen Industrieunternehmen in Bezug auf den Datenschutz vor großen Herausforderungen. Im Rahmen der Literaturrecherche wurde nach Standards und Modellen gesucht, die zur Sicherstellung der Datenschutz-Compliance empfohlen werden. Ein bewährter Ansatz zur Überwachung und Steuerung von Unternehmensrisiken sowie zur Anordnung von Funktionen ist das weltweit anerkannte Three-Lines-of-Defense-Modell (TLoD-Modell). Da in der gegenwärtigen Literatur bis dato keine Verknüpfung zwischen dem Three-Lines-of-Defense-Modell und dem Datenschutz vorhanden ist, möchte die Autorin mit dieser Arbeit eine Forschungslücke schließen. Ziel ist es, ein Verständnismodell zu entwickeln, welches in der Praxis für die Einführung und Einhaltung der Datenschutzbestimmungen genutzt werden kann. Zusätzlich zum Three-Lines-of-Defense-Modell werden im Verständnismodell die sieben Grundsätze des Prüfungsstandards IDW PS 980 berücksichtigt, die die Anforderungen an ein Compliance-System darstellen.

Die zentrale Forschungsfrage der Arbeit lautet:

Wie kann ein Verständnismodell zur regelkonformen Umsetzung der EU-DSGVO in österreichischen Industrieunternehmen auf Basis des Three-Lines-of-Defense-Modells aussehen?

Ziele der Arbeit

Ziel der Arbeit ist es, auf Basis der theoretischen Vorüberlegungen ein Verständnismodell für die österreichischen Industrieunternehmen zu entwickeln, das bei der Umsetzung der neuen gesetzlichen Datenschutzanforderungen herangezogen werden kann.

Theorie

In der Theorie werden die Merkmale der Sparte Industrie in Bezug auf die Digitalisierung und den damit einhergehenden Datenschutz dargestellt und die wesentlichsten Vorgaben der DSGVO angeführt. Der Prüfungsstandard IDW PS 980 wird zur Beschreibung eines wirksamen Compliance-Systems sowie das TLoD-Modell zur Steuerung und Kontrolle von Compliance-Maßnahmen erläutert.

Wissenschaftliche Methoden

Die Anwendbarkeit des Verständnismodells in der Praxis wird durch qualitative Befragungen in Form von Experteninterviews und Expertinneninterviews geprüft. Es werden fünf Personen mit Kenntnissen im Datenschutz befragt, die in einem österreichischen Industrieunternehmen arbeiten und somit wertvolle Aussagen in Bezug auf die Praxistauglichkeit des Verständnismodells liefern können. Die Interviews werden volltranskribiert und im Rahmen einer qualitativen Inhaltsanalyse ausgewertet.

Ergebnisse

Das Ergebnis der vorliegenden Bachelorarbeit ist ein Verständnismodell für die Sparte Industrie, welches einen Orientierungsrahmen bei der Sicherstellung des Datenschutzes unter Berücksichtigung der DSGVO bietet. Das Verständnismodell besteht aus den Elementen des TLoD-Modells verknüpft mit den Grundsätzen des Prüfungsstandards IDW PS 980.

Zusammenfassung (Englisch)

Context of the Thesis

Due to the digitization and global networking of systems, data is becoming an important economic factor and becomes the basis of new business models. The vast amount of data produced in the area of Industry 4.0 requires a solid understanding of data protection. To protect personal data, the EU Commission adopted the EU Data Protection Regulation, which has been in effect since 25 May 2018 in all EU Member States.

Due to the increasing use of automated systems and sensors, industrial companies face great challenges in terms of data protection. The literature search looked for standards and models that are recommended to ensure privacy compliance. A proven approach to monitoring and controlling corporate risk and ordering functions is the globally recognized three-lines-of-defense model. Because there is no link between the three-lines-of-defense model and privacy in contemporary literature, the author wants to close a research gap with this work. The goal is to develop an understanding model that can be used in practice for the introduction and adherence to data protection regulations. In addition to the three-lines-of-defense, the understanding model takes into account the seven basic phrases of the IDW PS 980 test standard, which represent the requirements for a compliance system.

The central research question of the work is:

What can an understanding model for the compliant implementation of the EU GDPR in Austrian industrial companies look like based on the three-lines-of-defense model?

Goal of the Thesis

The aim of the work is to develop an understanding model for the Austrian industrial companies on the basis of theoretical considerations, which can be used in the implementation of the new legal data protection requirements.

Theory

In theory, the characteristics of the industry sector in terms of digitization and the associated data protection are presented and the main requirements of the EU-GDPR are cited. The test standard IDW PS 980 is described for the description of an effective compliance system and the three-lines-of-defense model for the control and monitoring of compliance measures.

Methodology

The applicability of the understanding model in practice is checked by qualitative surveys in the form of interviews with experts. Five people with data protection skills are interviewed who work in an Austrian industrial company and can thus provide valuable information regarding the practicality of the understanding model. Interviews are fully transcribed and evaluated as part of a qualitatively content analysis.

Results

The result of the present bachelor thesis is an understanding model for the industrial sector, which provides a framework for ensuring data protection in accordance with the EU GDPR. The understanding model consists of the elements of the so-called three-lines-of-defense model combined with the principles of the test standard IDW PS 980.