Privacy Governance

Datenschutz-Governance verbindet DSGVO, Security und operative Nachweise

DSGVO-Compliance ist kein statischer Dokumentensatz. Unternehmen muessen nachweisen koennen, welche personenbezogenen Daten verarbeitet werden, auf welcher Grundlage dies geschieht, welche Risiken bestehen und welche Massnahmen umgesetzt sind.

DSGVO als dauerhaftes Governance-System

Die DSGVO verlangt Verantwortlichkeit, Rechenschaft und angemessene technische und organisatorische Massnahmen. Fuer Unternehmen bedeutet das: Verarbeitungstaetigkeiten, Rechtsgrundlagen, Risiken, Systeme, Dienstleister und Nachweise muessen aktuell gehalten werden.

Kernartefakte der Datenschutz-Governance

RoPA

Verzeichnis von Verarbeitungstaetigkeiten mit Zweck, Datenkategorien, Rechtsgrundlagen, Empfaengern und Loeschfristen.

DPIA

Datenschutz-Folgenabschaetzungen fuer Verarbeitungen mit voraussichtlich hohem Risiko strukturiert durchfuehren.

TOMs

Technische und organisatorische Massnahmen mit Security Controls, Systemen und Nachweisen verbinden.

Schnittstellen zu AI Act und Cyber Security

KI-Systeme koennen personenbezogene Daten verarbeiten, Profiling ermoeglichen oder automatisierte Entscheidungen beeinflussen. Deshalb sollten AI Governance und Datenschutz-Governance gemeinsam betrachtet werden. Ebenso wichtig ist die Verbindung zu ISO 27001 und Security Controls.

Datenschutz in Produkt- und IT-Prozessen

Privacy by Design funktioniert nur, wenn Datenschutz in Produktentwicklung, Beschaffung, IT Change Management, Lieferantenpruefung und Incident Response eingebettet ist.

Auch oeffentliche Pflichtangaben gehoeren in dieses Bild. Impressum, Kontaktseiten, Registereintraege und Unternehmensprofile koennen personenbezogene Daten dauerhaft sichtbar machen. Transperio betrachtet diese Flaeche als Teil der Datenschutz-Governance fuer oeffentliche Unternehmensdaten.

Spaetere SaaS-Produkte

FAQ

Was bedeutet Rechenschaftspflicht?

Unternehmen muessen nicht nur compliant handeln, sondern Compliance durch geeignete Dokumentation und Nachweise belegen koennen.

Wann ist eine DPIA relevant?

Wenn eine Verarbeitung voraussichtlich ein hohes Risiko fuer Rechte und Freiheiten natuerlicher Personen mit sich bringt.

Wie haengen DSGVO und AI Act zusammen?

KI-Systeme koennen personenbezogene Daten verarbeiten oder Entscheidungen unterstuetzen. Dann muessen AI Governance und Datenschutz-Governance gemeinsam betrachtet werden.