Praxishilfen zur Bewältigung der DSGVO

Wer die Wahl hat, hat die Qual

von - 20.05.2019
Datenschutzprinzipien und Datenschutz durch Technikgestaltung
Datenschutzprinzipien und Datenschutz durch Technikgestaltung: Die Infografik des Digitalverbands Bitkom zeigt anschaulich, wie umfangreich die Vorgaben der DSGVO für Unternehmen sind.
(Quelle: Bitkom)
Einfach ist die Auswahl einer Datenschutz-Software allerdings nicht. Quasi jeder Hersteller wirbt ohnehin damit, dass seine Software DSGVO-konform ist. Und eine Internetrecherche nach speziellen DSGVO-Tools, mit denen Unternehmen ihre vielen Daten anwendungsübergreifend im Griff behalten, führt zu einer Vielzahl mehr oder weniger bekannter Anbieter, die in Aussicht stellen, mit einem Tool alle Anforderungen der Datenschutz-Grundverordnung umzusetzen.
Wie sollte man als Unternehmen bei der Suche nach einer entsprechenden DSGVO-Software also vorgehen? Wie bei allen Software-Evaluationen lautet auch beim Auswahlprozess für eine DSGVO-Software die Kernfrage: Welche Software erfüllt meine Bedürfnisse unter Berücksichtigung der Wirtschaftlichkeit am besten? Dazu Florian Fiessmanns Hin­weis: „Die Lösung muss die Mindeststandards abdecken, andernfalls ist sie trotz vermeintlich günstiger Kosten un­-
ge­eignet.“
Doch was muss eine DSGVO-Software eigentlich können? Ein geeignetes Tool ermöglicht das Erstellen und Pflegen ­eines umfangreichen und vollständigen Verzeichnisses von Verarbeitungstätigkeiten. Dabei ist essenziell, dass alle Pflichtbestandteile des sogenannten Verfahrensverzeichnisses erfasst werden - beispielsweise Beginn und Zweck der Verarbeitung sowie technische und organisatorische Maßnahmen (TOM). Darüber hinaus ist eine toolgestützte Risikowertanalyse von großem Vorteil - das System ermittelt, welches Risiko sich aus einem bestimmten Verarbeitungsvorgang ergibt.
Florian Fiessmann
Florian Fiessmann
Leiter Vertrieb bei Consol
www.consol.de
Foto: Consol
„Verantwortliche suchen häufig nach einer Software-Lösung, die fehlendes Know-how ersetzt. Dieser Weg ist im Grunde von vornherein zum Scheitern verurteilt.“
Auch die Möglichkeit, Überprüfungszeiträume anzulegen und Erinnerungen an den Datenschutzbeauftragten zu schicken, sollte eine gute DSGVO-Software bieten. „Des Weiteren sollten Ereignisse wie Verstöße oder Audits schnell und einfach dokumentiert werden können, um gegebenenfalls die Aufsichtsbehörden direkt aus dem Tool heraus zu benachrichtigen“, fügt Florian Fiessmann hinzu. Dabei sei es enorm hilfreich, Maßnahmen gleich in der Software verwalten und bearbeiten zu können.
Für Elke Bastian ist ein wichtiger Punkt die Berichterstattung an externe Prüfer. Es sei wichtig diesen Nachweis erbringen zu können, denn trotz aller Anstrengungen könnten Datenschutzverletzungen im Unternehmen auftreten. „Dann ist es wichtig, zu belegen, dass man alles Erforderliche getan hat, um das Risiko zu minimieren, und auch zu wissen, wie in diesem Fall vorzugehen ist und wer zu informieren ist, um bei einem Datenschutzverstoß die Meldepflicht von 48 Stunden einzuhalten.“
Die Auditorin für Datenschutz und Beraterin für Informationssicherheit Carina Thomas hat die Erfahrung gemacht, dass es in manchen Fällen - je nach Komplexität und Unternehmensgröße - nicht immer gleich eine eigene DSGVO-Software sein muss. Auch einfache Bordmittel wie Office-Anwendungen können ihrer Einschätzung nach durchaus zur Umsetzung der DSGVO herangezogen werden.
Checkliste zur Umsetzung der DSGVO
Für eine erfolgreiche Umsetzung der Datenschutz-Grundverordnung sollten sich Unternehmen laut Digitalverband Bitkom an folgenden Vorgaben orientieren:
  • Dokumentation der Datenverarbeitungsprozesse im Unternehmen, insbesondere Erweiterung der Dokumentationspflichten bei Auftragsverarbeitern
  • Datenschutzerklärungen prüfen (Erweiterung der Informations­pflichten)
  • Einwilligungserklärungen (Verschärfung der formalen Vor­gaben) und Prozess für Widerruf der Einwilligung verfassen
  • Betriebsvereinbarungen an die DSGVO anpassen
  • Prozesse zum Umgang mit Widersprüchen festlegen
  • Vereinbarungen zur Auftragsverarbeitung (Haftungsregelung, Dokumentation) treffen
  • Prozesse bei Datenpannen entsprechend den neuen Vor­gaben überarbeiten
  • Verfahren festlegen, um Daten in einem gängigen elektronischen Format übertragen zu können
  • Zielgruppengerechte Schulungen zu den Neuerungen derDSGVO und den eigenen Prozessen durchführen
  • Risk Assessment zur Festlegung geeigneter technisch-organisatorischer Maßnahmen einführen
  • Privacy Impact Assessment einführen
  • Nationale Gesetzgebung im Auge behalten
Quelle: Bitkom
Seite
  1. Teil: Praxishilfen zur Bewältigung der DSGVO
  2. Teil: Wer die Wahl hat, hat die Qual
  3. Teil: Problemfall Datensilos
Verwandte Themen

Mehr zum Thema