Praxishilfen zur Bewältigung der DSGVO
Wer die Wahl hat, hat die Qual
von Konstantin Pfliegl - 20.05.2019

Datenschutzprinzipien und Datenschutz durch Technikgestaltung: Die Infografik des Digitalverbands Bitkom zeigt anschaulich, wie umfangreich die Vorgaben der DSGVO für Unternehmen sind.
(Quelle: Bitkom)
Wie sollte man als Unternehmen bei der Suche nach einer entsprechenden DSGVO-Software also vorgehen? Wie bei allen Software-Evaluationen lautet auch beim Auswahlprozess für eine DSGVO-Software die Kernfrage: Welche Software erfüllt meine Bedürfnisse unter Berücksichtigung der Wirtschaftlichkeit am besten? Dazu Florian Fiessmanns Hinweis: „Die Lösung muss die Mindeststandards abdecken, andernfalls ist sie trotz vermeintlich günstiger Kosten un-
geeignet.“
geeignet.“
Doch was muss eine DSGVO-Software eigentlich können? Ein geeignetes Tool ermöglicht das Erstellen und Pflegen eines umfangreichen und vollständigen Verzeichnisses von Verarbeitungstätigkeiten. Dabei ist essenziell, dass alle Pflichtbestandteile des sogenannten Verfahrensverzeichnisses erfasst werden - beispielsweise Beginn und Zweck der Verarbeitung sowie technische und organisatorische Maßnahmen (TOM). Darüber hinaus ist eine toolgestützte Risikowertanalyse von großem Vorteil - das System ermittelt, welches Risiko sich aus einem bestimmten Verarbeitungsvorgang ergibt.
Auch die Möglichkeit, Überprüfungszeiträume anzulegen und Erinnerungen an den Datenschutzbeauftragten zu schicken, sollte eine gute DSGVO-Software bieten. „Des Weiteren sollten Ereignisse wie Verstöße oder Audits schnell und einfach dokumentiert werden können, um gegebenenfalls die Aufsichtsbehörden direkt aus dem Tool heraus zu benachrichtigen“, fügt Florian Fiessmann hinzu. Dabei sei es enorm hilfreich, Maßnahmen gleich in der Software verwalten und bearbeiten zu können.
Für Elke Bastian ist ein wichtiger Punkt die Berichterstattung an externe Prüfer. Es sei wichtig diesen Nachweis erbringen zu können, denn trotz aller Anstrengungen könnten Datenschutzverletzungen im Unternehmen auftreten. „Dann ist es wichtig, zu belegen, dass man alles Erforderliche getan hat, um das Risiko zu minimieren, und auch zu wissen, wie in diesem Fall vorzugehen ist und wer zu informieren ist, um bei einem Datenschutzverstoß die Meldepflicht von 48 Stunden einzuhalten.“
Die Auditorin für Datenschutz und Beraterin für Informationssicherheit Carina Thomas hat die Erfahrung gemacht, dass es in manchen Fällen - je nach Komplexität und Unternehmensgröße - nicht immer gleich eine eigene DSGVO-Software sein muss. Auch einfache Bordmittel wie Office-Anwendungen können ihrer Einschätzung nach durchaus zur Umsetzung der DSGVO herangezogen werden.