Datenschutz in der Luftfahrt

REFERENZEN

Die Migration in die Cloud sollte datenschutzrechtlich sowie informationssicherheitstechnisch...

Datenschutz in der Luftfahrt

Hintergrund

Pilatus Aircraft Ltd., ein führender Hersteller von Flugzeugen, erkannte die zunehmende Bedeutung des Datenschutzes in seinen Betriebsabläufen. Mit einer globalen Präsenz und einer Vielzahl von Datenverarbeitungsaktivitäten musste Pilatus sicherstellen, dass die Datenschutzbestimmungen wie die Datenschutz-Grundverordnung (DSGVO) und das Schweizer Bundesgesetz über den Datenschutz (DSG) eingehalten werden. Um diesem Bedarf gerecht zu werden, beauftragte Pilatus Priverion, eine dedizierte Datenschutzbeauftragte (DSB) zu stellen und die Implementierung umfassender Datenschutzmassnahmen mithilfe des Priverion Datenschutzmanagementsystems (DPMS), einer Software-as-a-Service (SaaS)-Lösung, zu unterstützen.

Herausforderungen

Komplexe Datenverarbeitungsaktivitäten:

Pilatus verarbeitet grosse Mengen an personenbezogenen Daten, einschliesslich Personalakten, Kundeninformationen, Lieferantinnendaten und Daten von Flugzeugen. Sicherzustellen, dass alle Verarbeitungsaktivitäten den Anforderungen der DSGVO und des DSG entsprechen, war eine bedeutende Herausforderung.

Lieferantenmanagement

Pilatus arbeitet mit zahlreichen Anbieter:innen zusammen, die personenbezogenen Daten in ihrem Auftrag verarbeiten. Sicherzustellen, dass alle Datenverarbeitungsverträge (DPAs) mit diesen Anbieter:innen den regulatorischen Standards entsprachen, war entscheidend.

Flugzeugdaten

Die Flugzeuge von Pilatus sind mit fortschrittlichen Sensoren und Konnektivitätsfunktionen ausgestattet, die Betriebsdaten sammeln und übertragen. Das Management der Privatsphäre und Sicherheit dieser verbundenen Flugzeugdaten, die personenbezogene Daten umfassen können, fügte eine weitere Komplexitätsebene hinzu.

Fehlende umfassende Dokumentation

Pilatus benötigte einen systematischen Ansatz zur Dokumentation und Abbildung seiner Datenverarbeitungsaktivitäten, was für die Rechenschaftspflicht und Transparenz gemäss DSGVO und DSG unerlässlich ist.

Implementierte Lösungen

Priverion Datenschutzmanagementsystem (DPMS):

1. Das Priverion DPMS wurde eingesetzt, um Datenschutzprozesse zu optimieren und die fortlaufende Compliance sicherzustellen. Diese SaaS-Lösung bot:

  • Eine zentrale Plattform zur Verwaltung aller Datenschutzaktivitäten.
  • Automatisierte Werkzeuge zur Pflege und Aktualisierung des VVT.
  • Echtzeitüberwachung und -benachrichtigungen zur Einhaltung des Datenschutzes.
  • Erstellung des Verzeichnisses der Verarbeitungstätigkeiten (VVT)

2. Priverion in der Funtion als DSB leitete die Erstellung eines detaillierten VVT mit dem DPMS. Dies umfasste:

  • Identifikation aller Verarbeitungstätigkeiten innerhalb von Pilatus.
  • Dokumentation des Zwecks, der Kategorien von betroffenen Personen, der Kategorien personenbezogener Daten, der Datenempfänger:innen und der Aufbewahrungsfristen für jede Tätigkeit.
  • Sicherstellung, dass das VVT kontinuierlich aktualisiert und für Audits und Überprüfungen leicht zugänglich ist.

3. Prozess-Mapping: Priverion führte ein umfassendes Prozess-Mapping durch, um ein klares Verständnis der Datenflüsse innerhalb von Pilatus zu erhalten. Dies umfasste:

  • Abbildung der Datenerfassung, -speicherung, -nutzung und -weitergabe.
  • Identifikation potenzieller Risiken und Bereiche, in denen Datenschutzmassnahmen verstärkt werden mussten.
  • Implementierung geeigneter technischer und organisatorischer Massnahmen zur Minderung identifizierter Risiken.

4. Überprüfung von Datenverarbeitungsverträgen (DPAs): Priverion überprüfte und überarbeitete alle bestehenden DPAs mit den Anbietern von Pilatus, um die Einhaltung der DSGVO und des DSG sicherzustellen. Dieser Prozess umfasste:

  • Bewertung der Datenschutzmassnahmen aller Anbieter:innen.
  • Aktualisierung der DPAs, um notwendige Klauseln zum Datenschutz, zur Meldung von Datenschutzverletzungen und zu den Rechten der betroffenen Personen aufzunehmen.
  • Etablierung eines Rahmens für die fortlaufende Überwachung und Überprüfung der Compliance der Anbieter:innen.

5. Verwaltung von Flugzeugdaten:

Priverion adressierte die spezifischen Herausforderungen der Verarbeitung von Flugzeugdaten durch:

  • Sicherstellung, dass die Erfassung und Übertragung von Betriebsdaten aus Flugzeugen der DSGVO und dem DSG entsprechen.
  • Implementierung robuster Verschlüsselungs- und Anonymisierungstechniken zum Schutz personenbezogener Daten.
  • Etablierung klarer Datenaufbewahrungsrichtlinien und Sicherstellung, dass nur notwendige Daten für den erforderlichen Zeitraum aufbewahrt werden.
  • Bereitstellung von Transparenz für Kund:innen über die gesammelten Datenarten, die Zwecke der Datenverarbeitung und ihre Rechte in Bezug auf diese Daten.

Erzielte Vorteile

1. Erhöhte Compliance:

Durch die strukturierte und aktualisierte VVT und die Nutzung des Priverion DPMS verbesserte Pilatus seine Compliance mit der DSGVO, dem DSG und anderen relevanten Datenschutzvorschriften erheblich. Diese Dokumentation bot einen klaren Überblick über die Datenverarbeitungsaktivitäten, was Audits und regulatorische Überprüfungen erleichterte.

2. Verbesserte Daten-Governance:

Das Prozess-Mapping-Projekt half Pilatus, ein umfassendes Verständnis der Datenflüsse zu gewinnen, wodurch effektivere Datenschutzmassnahmen implementiert werden konnten. Dieser proaktive Ansatz reduzierte das Risiko von Datenverletzungen und Non-Compliance.

3. Stärkere Beziehungen zu Anbieter:innen:

Die Überprüfung und Überarbeitung der DPAs stellten sicher, dass alle Anbieter:innen, die Daten im Auftrag von Pilatus verarbeiteten, denselben hohen Datenschutzstandards entsprachen. Dies minderte nicht nur Risiken, sondern stärkte auch das Vertrauen und die Zusammenarbeit mit den Anbieter:innen.

4. Sichere Verwaltung verbundener Flugzeugdaten:

Durch die Adressierung der spezifischen Herausforderungen der verbundenen Flugzeugdaten stellte Pilatus sicher, dass sensible Betriebs- und personenbezogene Daten, die von ihren Flugzeugen übertragen wurden, sicher sind. Dies erhöhte das Vertrauen der Kund:innen und Stakeholder in die Datenbearbeitungen von Pilatus.

5. Betriebliche Effizienz:

Mit einer dedizierten DSB von Priverion und der Nutzung des DPMS profitierte Pilatus von fachkundiger Anleitung und Aufsicht in allen Datenschutzangelegenheiten. Dies ermöglichte es den internen Teams, sich auf die Kernaktivitäten des Unternehmens zu konzentrieren, während sichergestellt wird, dass der Datenschutz von Spezialist:innen überwacht wird.

Optimierte Prozesse und fortlaufende Compliance:

Das Priverion DPMS bot automatisierte Werkzeuge und Echtzeitüberwachung, wodurch Datenschutzprozesse optimiert und die fortlaufende Compliance mit Datenschutzvorschriften sichergestellt wurden.

6. Reputation und Vertrauen:

Die Demonstration eines Engagements für den Datenschutz verbesserte den Ruf von Pilatus bei Kund:innen, Partner:innen und Regulierungsbehörden. Das Vertrauen in die Fähigkeit von Pilatus, personenbezogene Daten zu schützen, wurde gestärkt und verschaffte einen Wettbewerbsvorteil auf dem Markt.

 

Kundenmeinungen

“Priverion made it possible to standardize our global privacy efforts over our different local organizations and drive efficient marketing solutions.”

Sunstar Group — Digital Transformation Strategy & Services

"Mit Hilfe von Priverion hat sich Careerfairy als vertrauenswürdige und konforme Plattform etabliert. Sie haben unseren Verkaufsprozess optimiert, und die Einhaltung des Datenschutzes sichergestellt. Der Erfolg unserer Partnerschaft unterstreicht die Bedeutung der Priorisierung von Datenschutz und Transparenz mit Experten wie Priverion."

Careerfairy AG — CEO

"Die Zusammenarbeit von FunctionHR mit Priverion zeigt, wie Fachwissen im Datenschutz und die ISO 27001-Zertifizierung die Geschäftsexpansion vorantreiben können. Gemeinsam haben wir die Datensicherheit in einen Wettbewerbsvorteil verwandelt, der es FunctionHR ermöglicht, mit Vertrauen und Zuversicht in neue Märkte vorzudringen."

functionHR GmbH — CEO

"Priverion hat es uns ermöglicht, die angemessenen Datenschutzrichtlinien für unseren Gesundheitssektor umzusetzen. Ihre Expertise unterstütz uns, unserer Verpflichtung zu Datensicherheit und Compliance gerecht zu werden."

openmedical AG — Product Management