Datenschutzbeauftragter, Software, Freeware, Datenschutz, Verfahrensverzeichnis, Verarbeitungsübersicht

Verarbeitungsübersicht für Auftragsverarbeiter

Datenschutzmanagement, BDSG, LDSG, EU-DSGVO, Datenschutzdienstleister

Der Datenschutzbeauftragte und seine Software

Der Datenschutzbeauftragte sucht seine Software nach Funktionalität und Zukunftstauglichkeit aus

Wird man zum Datenschutzbeauftragten (DSB) ernannt, stellt sich sehr schnell die Frage: welche Software brauche ich, um mein Arbeitsgebiet effizient abzudecken!

Es ist wahrscheinlich, dass der junge Datenschutzbeauftragte sein Arbeitsgebiet, die EU-DSGVO oder "seine zusätzlichen Forderungen" in der Regel noch nicht voll überblickt. Deshalb von uns ein paar Hinweise, was “seine” Software abdecken sollte.

Schaut man in die EU-DSGVO, steht da lediglich, dass eine Verarbeitungsübersicht (früher Verfahrensverzeichnis) zu erstellen ist und mit ca. 30 Angaben pro Verarbeitung gefüllt und verwaltet werden soll. Diese marginalen Hinweise in der EU-DSGVO sind leider das Problem: all die notwendigen Dokumentationsanforderungen findet der Datenschutzbeauftragte nämlich nicht direkt in der Verordnung, sondern in Prüfvorschriften der Aufsichtsbehörden - die auch noch von Datenschutzaufsichtsbehörde zu Datenschutzaufsichtsbehörde  unterschiedlich sind. Es wird erwartet, dass der Datenschutzbeauftragte nicht nur seine Verarbeitungen präsentieren kann, sondern auch den dazugehörigen Datenschutz Prozess, in dem die eingesetzte Hardware, die eingesetzte Anwendungssoftware und die zugriffsberechtigten Personen aufgezeigt werden können. Nur dann, wenn der DSB den Datenschutz Prozess kennt, kann er die Datenverarbeitung auf Ordnungsmäßigkeit hin beurteilen. Die in der IT-Abteilung geführten Hard- und Software-Übersichten sind nicht wirklich hilfreich, denn die Verbindung zwischen Hardware > verwendete Software > Datenschutz-Verarbeitung > Zugriffsberechtigten fehlen dort in aller Regel. Der Datenschutzbeauftragte wird beim Auswählen seiner Software auf diese Darstellungsmöglichkeiten achten. Schön ist es natürlich, wenn solch ein Prozess als übersichtliche Baumstruktur abgebildet werden und jedes dieser Objekte im Baum mit den notwendigen "Datenschutzangaben" versehen werden kann.

Die zugriffsberechtigten Personen - und ihre detaillierten Zugriffsrechte - sind immer (wenn nicht gar der wesentliche) Prüfungsgegenstand der Aufsichtsbehörden - wer hier nicht zeigen kann, dass dieser Aspekt Teil seiner Überprüfungen ist, ist im Nachteil. Wie will er jetzt aufzeigen, dass er den Zugriff geprüft, die Person unterwiesen oder geschult hat? Wir hören oft: die Liste führt die Personalabteilung! Praxiskenner wissen allerdings, dass diese Listen entweder nie geführt werden oder veraltet oder unvollständig und deshalb unbrauchbar sind. Auch auf diesen Punkt achtet der Datenschutzbeauftragte, wenn er nach einer geeigneten Software sucht.

Kommen wir jetzt zum wichtigsten Punkt der Verarbeitungsdokumentation: dem Datenfluss - wer bekommt welche Daten aus der Datengesamtheit (Empänger) und woher kamen die Daten (Daten erhoben bei). Wer diesen Sachverhalt als DSB nicht aufzeigen kann, wird die Sensibilität einer Datenverarbeitung nicht korrekt einstufen können. Eine gute Datenschutzsoftware wird allerdings diesen Punkt abdecken.

Datenschutzdokumentationen brauchen in der Regel eine längere Zeit, bis sie ordnungsgemäß (sprich vollständig) aufgebaut sind. Die Fachabteilung liefert angeforderte Informationen eher schleppend als zügig; mehrfaches Nachfordern ist normal. Wir meinen, dass die Zeit, die der Datenschutzbeauftragte für die Terminverfolgung aufwendet, mit sachbezogener Arbeit besser genutzt werden könnte. Das "Nachhaken" verbraucht einen wesentlichen Teil der zur Verfügung stehenden Zeit des DSB. Eine gute Software zur Datenschutzbearbeitung übernimmt das Zeitmanagement für den Datenschutzbeauftragten durch automatische Ordnungsmäßigkeitsprüfung (sind die festgelegten Angaben erfasst?), automatische Aktualisierungsprüfung (ist die Dokumentation der Verarbeitungsübersicht noch aktuell?) und durch Wiedervorlage des Vorgangs zu einem bestimmten Termin mit automatischer Hinweismeldung auch wenn die Software nicht gestartet ist.
Die technisch und organisatorischen Maßnahmen (TOMs), die der DSB empfehlen soll, erweitern das Arbeitsgebiet des Datenschutzbeauftragten nicht unerheblich. Auch diese Tätigkeit gehört zu den zeitintensiven Pflichten des Datenschutzbeauftragten. Maßnahmen auszudenken und zu formulieren stellt hohe Anforderungen an den DSB. Nicht nur, dass das Finden oder das Formulieren der Datenschutz-Maßnahmen unerhört lange dauert und die Arbeitszeit belastet - nein, der Datenschutzbeauftragte muss sich auch sicher sein, dass er nichts Wesentliches übersehen hat. Warum sollte man das Rad neu erfinden? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt dem Datenschutzbeauftragten mehr als 1200 Maßnahmen bereit, von denen mindestens 700 speziell zur Datenschutzbearbeitung, verwendbar sind. Jetzt stellt sich nur noch die Frage, welche der 700 Maßnahmen müssen Verarbeitung A und welche der 700 Maßnahmen müssen Verarbeitung B zugeordnet werden? Ein gutes Datenschutz-Tool lässt den DSB hier nicht im Stich, übernimmt diese Aufgabe eventuell sogar automatisch. Jetzt sind wir an der Schnittstelle von Datenschutz- und Informationssicherheits-Bearbeitung. Beides ist eigentlich nicht trennbar. Datenschutzbearbeitung ohne Berücksichtigung der Informationssicherheit (früher IT-Sicherheit genannt) ist in unseren Augen kein wirklich gutes Datenschutz-Management. Auch hier wieder der Rat an den Datenschutzbeauftragten: suchen Sie sich eine Software aus, die diese Schnittstelle bedienen - oder zumindest später um diese Funktionalität erweitert werden kann. Abschließend zu diesem Punkt noch der Hinweis, dass jetzt zum ersten Mal in der EU-DSGVO  ausdrücklich zusätzlich IT-Sicherheits-Management gefordert wird - oft der Nachweis eines IT-Sicherheits-Konzeptes.

Im Laufe seiner Tätigkeiten wird der Datenschutzbeauftragte immer wieder auf wesentliche Informationen stoßen, die seine Datenschutzbearbeitung beeinflussen kann. Als Beispiel sei hier die video-basierende oder sonstige optisch/elektronische Datenerhebung genannt. Wer hätte vor einigen Jahren voraussehen können, dass solche Dinge einmal datenschutzrelevant würden oder dass die Gesetze geändert werden und die Dokumentations-Anforderungen erweitern? Der DSB achtet deshalb darauf, dass die Software solche "Erweiterungen" ermöglicht und bei Gesetzesänderungen selbst angepasst werden kann.

Zuletzt möchten wir noch einen Punkt zur Kenntnis bringen, der heute nur diskutiert aber noch nicht in großem Umfang angewendet, zukünftig allerdings an Gewichtung zunehmen wird. Es ist das Datenschutz-Audit. Wir wissen, dass die Institution sich Wettbewerbvorteile durch die Präsentation eines "Siegels" verschaffen kann. Solche "Siegel" sind aber nur dann wirtschaftlich vertretbar erreichbar, wenn die Software des Datenschutzbeauftragten die Informationen, die beim Audit gebraucht und abgerufen werden sollen auch abrufen lässt. Das geht in der Regel nur dann, wenn die in der Datenschutzsoftware hinterlegten Informationen selektierbar und nicht in großen Textfeldern untergebracht sind, aus denen die Informationen wahrscheinlich nicht mehr maschinell ausgelesen werden können. Der Datenschutzbeauftragte denkt an diese Möglichkeit, wenn er seine Software aussucht.

Lassen Sie uns noch kurz den Schwenk zu den eigentlichen Aufgaben des DSB machen und das "Beraten der Institution" betrachten. Dem Datenschutzbeauftragten werden viele Anfragen zu Datenschutz-Problemen angetragen. Die muss er nicht nur bearbeiten, sondern sollte diese Arbeiten auch revisionssicher dokumentieren - damit er einen Nachweis besitzt. Wir meinen, eine revisionssichere Dokumentation und Nachweisbarkeit (... das war die Anfrage ... das war meine Antwort ...) ist nicht mit "Office-Tools" erreichbar. Die Beratungs-Ergebnisse des Datenschutzbeauftragten sollten deshalb a) in der Datenschutz-Software handhabbar sein und b) die Software sollte möglichst über eine revisionssichere Archivierungsfunktion verfügen (früherer Datenbestand kann geladen und eingesehen aber nicht mehr verändert werden).
Bis hierhin wollen wir bei der Beschreibung der Arbeiten und Aufgaben des Datenschutzbeauftragten und seiner Software gehen, obwohl man noch über viele Aufgaben, wie z.B. die Fachkunde reden könnte.

Kann den Datenschutzbeauftragten eine Software so unterstützen, wie es oben dargestellt ist?
kronsoft bietet dem Datenschutzbeauftragten für seine Arbeit opus i Datenschutz an. Sie deckt die wesentliche Aufgaben des DSB ab und kann von diesem selbst erweitert werden oder an Gesetzesänderungen durch ihn selbst angepasst werden. Startseite Datenschutz.

Datenschutzbeauftragter mit der Frage: welche Software soll ich einsetzen?  (Klick > zurück)

Software für Datenschutz-, IT-Sicherheits- und Qualitätsmanagement

Home        Kontakt     Datenschutz     Impressum     English     Russian     中文(简体)    عربي

kronsoft                          | ReferenzenPresseAuszeichnungenPartnerSitemapKundenbereichDownloads  |       Version 20171118

kronsoft - like us on Facebook
kronsoft - follow us onTwitter
Fussbild-Abstandshalter
Keine Cookies auf unseren Seiten