kronsoft Datenschutz - Software und Tools für Datenschutz, BSI IT-Grundschutz und ISO 27001

Direkt zum Seiteninhalt
opus i gehört zu den führenden Datenschutz-Tools in Deutschland.  opus i  unterstützt Sie in allen Gebieten Ihrer Tätigkeit: Sie realisieren die gesetzlichen Anforderungen, können Verarbeitungsprozesse visuell abbilden,  individuell und effizient bewerten und managen.
Datenschutz ist wahrscheinlich das Managementgebiet, das die höchsten fachlichen Anforderungen an den Verantwortlichen stellt. Aus jeder Forderung der DSGVO resultieren weitere Forderungen, die anderen Gesetzen oder anderen Ländern und deren Gesetzen oder zwischenstaatlichen Beziehungen entspringen. Je länger die DSGVO durch Gesetzgeber und Judikative durchleuchtet, angewandt und interpretiert wird, desto umfangreicher werden die Forderungen an uns Datenschutzverantwortliche. Kreativität ist gefragt. Es gilt neue Vorschriften zu beachten, die wir heute noch gar nicht kennen. Daraus folgt auch die wichtigste Forderung an das Tool, das uns helfen soll alles im Blick zu halten: Es muss enorm flexibel bei vorhandenen Funktionen sein; es muss durch den Anwender erweiterbar sein, sowohl auf Datensatz- als auch auf Vorgangsebene; es muss möglich sein heute noch nicht bekannte Prozessarten selbst zu definieren und diese ordnungsgemäß zu beschreiben und transparent zu machen.

Wir setzen die Verarbeitungstätigkeiten des Verantwortlichen (VT) (Artikel 30.1 DSGVO), wie die Prozesse in der DSGVO, im Datenschutz, benannt werden, sinnbildlich gleich mit der Bilanz aus dem kaufmännischen Bereich. Die Bilanz ist das Steuerinstrument für den Kaufmann schlechthin, für den Datenschutzverantwortlichen (DSB) ist es die Übersicht zu den VTs. Wir dokumentieren genau das, was die Datenschutzkonferenz (Gremium der deutschen Datenschutzaufsichtsbehörden) festgelegt hat. Wir dokumentieren über Freitexteingaben und Auswahlantworten zu vorgegebenen Fragestellungen (welche Daten werden gespeichert, welche Löschfristen gelten, …). Wir verlinken weitergehende Infos, als Erklärung oder Nachweis, per Dokumenten- oder HTML-Link. Wir importieren Informationen aus bestehenden Übersichten. Wir bereinigen Sammelsurien durch doppelt und dreifach eingegebene inhaltsgleiche Antworten maschinell. Wir legen fest, dass nur bestimmte Antworten zu Fragestellungen verwendet werden dürfen oder lassen die Antwortmöglichkeiten offen. Wir legen offene, unfertige VTs auf Wiedervorlage oder ordnen sie Gruppenkategorien zu, die dann per Gruppensuche ähnlich einfach wieder gesucht und gefunden werden können. Wir drucken alle VTs in einen Standard-Report oder einzeln. Wir definieren Eigene-Reports mit unterschiedlichen Sichten für unterschiedliche Empfängerkreise. Wir erweitern oder verändern die Erfassungstemplates, wenn neue Anforderungen an uns gestellt werden oder, wenn wir Dienstleister sind, stellen wir für unseren Kunden das für ihn geltende Datenschutzgesetz ein. Um dem Charakter einer Bilanz nahe zu kommen, bilden wir den Datenfluss ab - wer erhält von uns welche Daten, wo bekommen wir die Daten her. Wir exportieren das VT-Template nach Excel zum Ausfüllen durch die Fachabteilung und importieren die Rückläufe. Wir lassen eine Ordnungsmäßigkeitsprüfung periodisch über unsere VT-Dokumentation laufen oder lassen die Maschine prüfen, ob die VT-Dokumentation aktuell oder überaltert ist. Wir bewerten und kennzeichnen die Dokumentation bzgl. der Prüfungsbelastbarkeit.

Der DienstLeister, oder Auftragsverarbeiter, muss die Prozesse dokumentieren und transparent machen, durch und mit denen er seine Dienstleistung erbringt – natürlich, und das gilt hier auf dieser Seite übergreifend, nur für solche, in denen oder mit denen personenbezogene Daten verarbeitet werden. Die DSGVO benennt diese Prozesse mit Verarbeitungstätigkeiten des Auftragsverarbeiters (Artikel 30.2 DSGVO) (wir schreiben kürzer: VTDL). Im Prinzip gilt hier das gleiche wie oben bei der VT gesagte. Es erscheint uns aber wichtig darauf hinzuweisen, dass sie in opus i im Standard enthalten ist.

Die technisch und organisatorischen Maßnahmen, die TOMs, Artikel 24 DSGVO, dokumentieren wir zentral nur einmal übergreifend für die VTs und VTDLs die diesen TOMs unterliegen und verweisen lediglich in den Dokumentationen zu den VTs und VTDLs auf diese zentral hinterlegten TOMs. Das spart Zeit und erleichtert es den Überblick zu behalten. Natürlich sind die TOM-Kategorien (Vertraulichkeit, Integrität, Verfügbarkeit, Verschlüsselung, …), die die Datenschutzkonferenz vorschreibt, in opus i enthalten und natürlich sind die geforderten Maßnahmenbündel bereits da. Wir gehen aber noch einen Schritt weiter und haben die TOMs aus dem Standarddatenschutzmodell (SDM) auch noch hinterlegt. Und wenn uns all dies noch nicht für den speziellen Fall genügt, legen wir Eigene-TOM-Kategorien an und untergliedern sie mit Eigenen-Maßnahmen. Und wir können hier sogar in die Informationssicherheit verzweigen - unser opus i macht das anstandslos mit.

Welche Externe haben Zugriff auf unsere PCs, Server, Netze, Daten? Die Macher der DSGVO möchten, dass wir diese Personen oder Firmen im Blick haben und die Zusammenarbeit sicher gestalten. Artikel 28 DSGVO. In opus i dokumentieren wir diese Auftragsverarbeitungen vollständig und verlinken gleich den AV-Vertrag mit. Auch hier gilt das oben bei VT gesagte. Wir nutzen den rechtssicheren Auftragsverarbeitungsvertrag, der opus i beiliegt, zur Dokumentation dieser Auftragsvergaben und verlinken diesen ausgefüllten und unterschriebenen Vertrag direkt in unserer Dokumentation.

Wir sollen wissen ob unsere personenbezogene Datenverarbeitung negative, eventuell schwerwiegende Auswirkungen auf die Menschen (die Betroffenen) hat, deren Daten wir speichern, nutzen und löschen – so ist es in den Beweggründen zur DSGVO zu lesen auf denen diese Forderung und die DSGVO selbst basiert. Der Gesetzgeber nennt diesen Prozess Datenschutzfolgenabschätzung (DSFA). Artikel 35 DSGVO. Damit wir nicht unnötig tief in unsere DV-Prozesse einsteigen um die Folgen unserer DV abzuschätzen, nutzen wir zur Demonstration unserer Aufmerksamkeit die in opus i bereitgestellte Schwellwertanalyse mit deren Hilfe, durch Beantwortung einiger Fragen, sehr schnell zu erkennen ist, ob den Betroffenen möglicherweise ein Schaden, aufgrund eines hohen Risikos, durch unsere Datenverarbeitung zugefügt wird. Falls dies erkennbar wäre, beurteilen wir den Prozess - also die Summe aus Daten, Hardware, Software, Netzen - anhand von uns angepassten Schadenskategorien und Schadensausmaßen mit Hilfe der in opus i enthaltenen Standardvorschläge, die wir auf unseren betrachteten Prozess oder auf unsere gesamte DV angleichen. Durch die farbliche Ergebnisdarstellung (grün, gelb, rot) unserer Einstufung von Schadenseintrittswahrscheinlichkeit x Schadensausmaß ist es leicht zu erkennen, ob und wo Maßnahmen zum Schutz der betroffenen Menschen zu implementieren wären. Und damit das Ganze auch vom Betroffenen als akzeptabel beurteilt und zusätzlich noch prüfungssicher ist, verwenden wir als Maßstab die aus der Informationssicherheit bekannte Risikomatrix und gehen insgesamt nach dem Whitepaper-Datenschutzfolgenabschätzung vor, genau nach der Anleitung, die die Datenschutzkonferenz spät, lange nach dem diese in opus i implementiert wurde, als Standard zur Beurteilung ausgewählt hat und auch so erwartet.

Sollte sich bereits bei der Schwellwertanalyse herausstellen, dass keine DSFA notwendig ist, schließen wir die DSFA ab, haben aber dokumentiert, dass wir aufmerksam waren und uns gekümmert haben. Trotzdem müssen wir Risiken betrachten. Artikel 24 DSGVO - also nicht nur dann, wenn wir an die Zusammenarbeit mit der Informationssicherheit denken. Wir verwenden dazu die im Umfang reduzierte Risikobetrachtung, die uns opus i zur Bearbeitung bereitstellt.

Sollte es einmal notwendig werden eine Datenpannenmeldung bei der zuständigen Datenschutzaufsichtsbehörde einzureichen, können wir alle Sachverhalte, wie gefordert, im Dialog eingeben und per E-Mail direkt zur zuständigen Stelle senden oder die notwendigen Daten zur weiteren Bearbeitung an den Datenschutzbeauftragten zur Prüfung und abschließender Bearbeitung per opus i Wiedervorlagefunktion weiterreichen. Die Betroffenen werden, falls dies notwendig sein sollte, über einen der Meldung entsprechendem Text benachrichtigt, den opus i automatisch aus den Meldungsinhalten generiert. Wenn die Datenpannenmeldung mit opus i per E-Mail verschickt wird, haben wir zum Nachweis der Versendung natürlich das Sendeprokoll direkt in der Meldung dokumentiert.

Schulungen und Unterweisungen sowie Verpflichtungen dokumentieren wir für Einzelpersonen oder Sachgebietsgruppen („Personalabteilung LOHN“ oder „Vertrieb“ usw.) in den opus i Schulungs- und Verpflichtungsdialogen. Damit wir rechtzeitig an Wiederholungs- oder Ergänzungsschulungen erinnert werden, nutzen wir die opus i Wiedervorlage, die sich auch dann melden kann, wenn opus i überhaupt nicht gestartet ist.

Wir binden eigene Checklisten in unsere Datenschutzdokumentation ein.
Die Checkliste zu Fragen der Aufsichtsbehörde liefert uns opus i standardmäßig mit. Diese nutzen wir nicht nur um ums auf Prüfungen durch die Aufsichtsbehörde vorzubereiten, sondern auch als Workflow oder Hinweisgeber zu unseren wichtigsten Aufgaben und Aufgabengebieten. Auch die Checkliste zu Mindestvertragsinhalten von Verträgen zur Auftragsverarbeitung (Artikel 28 DSGVO), die ebenso opus i beiliegt, können wir verwenden um unsere geschlossenen AV-Verträge nochmals Punkt für Punkt zu verifizieren und um diese notwendige und geforderte Prüfung gleichzeitig nachzuweisen.

Mit Hilfe der Beauftragtenfunktionen dokumentieren wir unsere durchgeführten Tätigkeiten. Ob das eigene Weiterbildungen, Prüfungen oder irgendwelche andere Tätigkeiten oder geplante und zukünftige Dinge sind, alles geht. Wichtig ist, dass die Kurzbeschreibung dieser Tätigkeiten im Jahresbericht für die Geschäftsleitung übernommen und ausgewiesen wird.
Diesen Jahresbericht für die Geschäftsleitung können wir selbst in bestimmten Umfang anpassen, also kürzen oder mit zusätzlichem Text versehen. Alles, was die Geschäftsleitung nicht interessiert, kann rausgenommen werden. Nach dem automatischen Erstellen können wir den Bericht noch optisch verändern, der Bericht liegt im Wordformat vor.

Einmal pro Jahr erstellen wir uns ein Archiv zu allen Dokumentationen, verlinkten Dokumenten und Grafiken und legen dieses Archiv außerhalb der opus i Datenbank ab. Das Archiv können wir auch noch nach Programmupdates und viele Jahre später zurückspielen und einsehen.

Wenn wir etwas in der opus i Dokumentation suchen, nehmen wir, je nach dem, was am schnellsten zum Ziel führt, die Volltextsuche oder die Queryfunktion, also die Funktion, mit der immer wiederkehrende Abfragen erstellt werden oder wir nehmen die globale Tabellenansicht der Datenbankinhalte mit der wir dann auch gleich auf den gefundenen Eintrag positionieren.

Hauptfunktionen
- Verarbeitungstätigkeit des Verantwortlichen, Artikel 30.1 DSGVO
- Verarbeitungstätigkeit des Auftragsverarbeiters, Artikel 30.2 DSGVO
- Datenfluss- und Transparenzdarstellung, Artikel 12 DSGVO
- technisch und organisatorische Maßnahmen, Artikel 24 DSGVO + Maßnahmen aus dem SDM + eigene Maßnahmen
- Auftragsverarbeitung, Artikel 28 DSGVO
- Checkliste zu Mindestvertragsinhalten bei Auftragsverarbeitung
- Datenschutzfolgenabschätzung, Artikel 35 DSGVO, mit Schwellwertanalyse
- Risikoanalyse, Erwägungsgründe DSGVO
- Datenpannenmeldung, Artikel 33 DSGVO
- Tätigkeitsnachweise des Beauftragten, Artikel 39 DSGVO
- Unterrichtung des Verantwortlichen per (Jahres)bericht, Artikel 39 DSGVO
- Schulungen/Unterweisungen/Verpflichtungen, Artikel 39 DSGVO
- Checkliste zu Prüfungsfragen der Aufsichtsbehörden

Unterstützungsfunktionen
Sachlich
- Volltextsuche, Query, globale Darstellung der Dokumentation per Tabellenansicht
- Eigene Checklisten einbinden
- maschinelle Prüfung auf vollständige Dokumentation
- maschinelle Prüfung auf Aktualität der Dokumentation
- Kennzeichnung der Dokumentation bzgl. Belastbarkeit bei Audits
- Einbinden der Fachabteilung per Exceltemplate (Export/Import)
- maschinelle Zusammenfassung von Sammelsurien zu eindeutigen Begriffen
- Öffnen oder sperren der Antwortmöglichkeiten
- Zuordnung von Prozessen/Vorgängen zu Gruppen als Suchkriterium
- Standardreport / eigene Reports
- veränderbare Erfassungstemplates
- Abbildung von Prozessstruktur, Hauptprozess, Management- und Unterstützungsprozess
- Kopieren von Dokumentationen
- Spickzettel (user-eigene-Notizen)
- Verlinkung von Nachweisdokumente
- Linkprüfung
- Dokumentationstiefe bei hohen Transparenzanforderungen erweitern
- alle Parameter sind anpassbar
- Bestimmen von Pflicht- und wahlfreien Eingabefelder
- Dokumentation von Mitarbeitern, externen Personen, Aufgaben, Terminen, Adressen, Emails
- Turtle Prozessdiagramm
Zeitlich
- Wiedervorlage an uns selbst oder andere opus i Anwender
- automatische Erinnerungsmails
Technisch
- On-promise
- GUI zweisprachig (deutsch/englisch)
- Mandantenfähigkeit inklusive der jeweiligen mandantenbezogenen Gesetze
- Mandantenfähigkeit bei globaler DSGVO-Einstellung
- Import externer Daten
- Teammitglieder unterschiedliche Sichten zuordnen
- anpassbares Popup-Menü (kürzen)
- auf zuletzt bearbeitetem Vorgang aufsetzen
- Passwortregeln bzgl. des Anmeldens an opus i
- Logo der Stelle in Report einbinden
- referenzieren von Dokumentationen an andere Dokumentationen
- TableToExcel (Inhalt per Maustaste nach Excel schieben)
- Cross-Referenz-Darstellung
- Papierkorb
- Aktiv- und Inaktivschaltung von Vorgängen
- internes Backup der Datenbank
- Archiv

Voraussetzungen
Einplatz
- Windows ab WIN 7
- 2 Gigabyte freier Festplattenspeicher
- Bildschirmauflösung min. 1280 x 1024, besser FullHD

Mehrplatz
- Windows ab WIN 7, besser WIN-Serverbetriebssystem X
- 100 MB Netzwerk
- 2 Gigabyte freier Festplattenspeicher

kronsoft e.K.   -   Schillerstraße 10   -   Deutschland   -   66564 Ottweiler/Saar   -   Telefon: +49 6858 6370   -   Kontakt
Zurück zum Seiteninhalt