Koç, HasanEckert, KaiFlaig, Daniel2021-03-252021-03-2520182018http://dx.doi.org/10.1365/s40702-018-00449-7https://dl.gi.de/handle/20.500.12116/35887Datenschutz nimmt eine zunehmend größere Bedeutung in der modernen Datenverarbeitung ein. Seit dem 25. Mai 2018 müssen Unternehmen der EU-Datenschutz-Grundverordnung (EU-DSGVO) entsprechen. Ziel ist die Vereinheitlichung der Datenschutzgesetze aller 28 Mitgliedstaaten der EU. Unternehmen können bei Verstößen mit Bußgeldern bis zu 20 Mio. € oder vier Prozent des weltweiten Jahresumsatzes sanktioniert werden. Aktuelle Studien verdeutlichen, dass die Anzahl der Unternehmen, die den Vorgaben der EU-DSGVO entsprechen, gering ist. In diesem Zusammenhang stehen Unternehmen vor verschiedenen Herausforderungen, wie bspw. undeutliche Interpretationen der EU-DSGVO und die einhergehende Komplexität bei der Anwendung der Verordnung in der Praxis. Unternehmensarchitekturen liefern eine holistische Sicht auf wesentliche Artefakte einer Organisation. Dies geschieht durch eine Verknüpfung über verschiedene Ebenen (z. B. Business und IT). Diese Strukturen sind im Kontext der EU-DSGVO unerlässlich um festzuhalten, warum Daten verarbeitet werden und in welchen Systemen sie gespeichert sind. Vor diesem Hintergrund empfehlen wir, basierend auf den Konzepten des Unternehmensarchitekturmanagements, einen systematischen Ansatz zur Einführung eines DSGVO Projektes. Die vorgestellte Methode wird derzeit bei einem international führenden Softwarehersteller eingesetzt, unter Einhaltung des Design Science Research Paradigmas entwickelt, und evaluiert. Data protection is playing an increasingly important role in modern data processing. Beginning with May 25, 2018, companies need to comply with General Data Protection Regulation (GDPR), a regulation to standardize the data protection laws across all 28 EU countries. In case of a noncompliance, the companies can be fined up to 4% of annual global turnover or €20 million. Recent studies show that the rate of the companies that put the GDPR requirements into practice is quite low. One challenge in this context is vague interpretations of GDPR and the complexity of applying the regulation in practice. Enterprise architectures deliver a holistic view of essential artefacts in an organization. This is achieved by relating information across different domains, e. g. Business and IT. In the GDPR context, such structures deem to be vital when it comes to documenting why the data is processed and in which systems it is stored. To this end, we propose a systematic approach on how to introduce a GDPR project in organizations drawing on the concepts of Enterprise Architecture Management. The approach, which is currently being used in an internationally leading software manufacturer, is developed and evaluated in line with design science research paradigm.DatenschutzDesign science researchDSGVOEAMEnterprise architecture managementGDPRMethod engineeringPrivacy protectionUnternehmensarchitekturmanagementText/Journal Article10.1365/s40702-018-00449-72198-2775