Die Bedeutung von speziellen Datenschutz-Software-lösungen für einen effizienten und effektiven Betrieb

veröffentlicht am 18. Mai 2022 | Lesedauer ca. 3 Minuten

Effizienz und Effektivität im Datenschutz sind ab einer bestimmten Organisations­größe nur noch mit einer speziellen Softwarelösung zu erreichen. Worin dabei die Vor­teile liegen, soll nachfolgender Beitrag klären.

Ähnlich anderen Managementsystemen (Qualitätssicherungs-, Informationssicherheits-, Umwelt- oder Energie­management) erfordert die Umsetzung eines Datenschutzmanagements neben Leit- und Richtlinien auch die Einbindung einer großen Anzahl von internen und oftmals auch externen Beteiligten. In die notwendigen Daten­schutzprozesse sind neben den Verantwortlichen und den Datenschutzbeauftragten auch Verarbeitungs­pro­zess­verantwortliche, Verantwortliche für Applikationen und Verfahren, Zuständige für die technischen und organisatorischen Schutzmaßnahmen und viele mehr einzubinden.

Nicht nur für den Nachweis einer verantwortungsvollen Umsetzung der Anforderungen aus dem Datenschutz ist es hilfreich, sich dabei durch eine geeignete Software unterstützen zu lassen. Auch in Bezug auf die Orga­nisation zur Umsetzung und zum laufenden Betrieb des Datenschutzmanagements sind Softwarelösungen ideal. Ähnlich wie Projektmanagementlösungen halten sie die notwendigen Aufgaben, Fristen und Zuständig­keiten übersichtlich zusammen – nehmen die Organisation sinnbildlich an die Hand.

• Im Schwerpunkt betrachtet liefern typische Lösungen in folgenden Bereichen einen Vorteil »

• Fazit »

Im Schwerpunkt betrachtet liefern typische Lösungen in folgenden Bereichen einen Vorteil:

Verzeichnis der Verarbeitungstätigkeiten

Der Aufbau und die Pflege dieses Verzeichnisses ist oftmals eine umständliche Aufgabe und führt nicht selten zu kaum aktuellen Daten. Hier bietet es sich an, den Aufbau und die Pflege über Zuständigkeiten auf jeweils einzelne Prozessverantwortliche zu dezentralisieren und die Inhalte dabei im Vorfeld ggf. mit anderen Lösungen (ISMS, QM, Prozesswerkzeuge, etc.) per Schnittstelle zu synchronisieren. Denn die Verzeichniseintragungen sind oftmals kaum zentral zu erstellen, beinhalten sie doch notwendige Informationen, welche nur dezentral in den Fachbereichen vorliegen.

Das notwendige Verzeichnis baut dabei auf den sogenannten Assets (IT-Systeme, Softwarelösungen, Netzwerk-Infrastruktur) sowie deren Sicherheitsbeurteilung auf. Auch hier helfen Datenschutzlösungen, die richtige Grundlage zu schaffen und eine Inkonsistenz verschiedener Insellösungen zu vermeiden. Auch die Änderungs- und Versionshistorien werden dadurch unterstützt.

Interne Bewertungen

Alle Bausteine des Datenschutzes bauen auf einer angemessenen Überprüfung und Überwachung auf. Wich­tige Hilfen hierfür sind Bewertungen aller Art. Ob sie durch den Verantwortlichen selbst oder durch andere Stellen in den Fachabteilungen des Verantwortlichen (Revision, IT-Compliance, Rechtsabteilung, etc.) oder durch den Datenschutzbeauftragten umgesetzt werden. Solche Bewertungen sind z. B. die Schwellwert­analyse, die Datenschutzfolgenabschätzung, eine Business-Impact-Analyse oder die Beurteilung eines Auftragsver­ar­bei­ters über seine Zuverlässigkeit.

Diese Bewertungen müssen inhaltlich strukturiert werden gemäß der Zielvorgabe: „Was soll mit welchen Fragen geprüft werden?“. Bereits in den Datenschutzlösungen vorgefertigte Bewertungen nach internationalen Stan­dards sind oft sehr hilfreich. Daneben gehört zu jeder Bewertung eine Zuordnung über die Verantwortung – „Wer füllt aus?“ „Wer prüft?“ „Wer genehmigt?“ – und Festlegung ggf. notwendiger Folgemaßnahmen. Abschließend dienen die Bewertungen auch dem Nachweis über einen wirksamen Prüfprozess (im Sinne des PDCA-Zyklus) und dessen laufender Umsetzung. Idealerweise wird durch Upload oder Verlinkung von mitgel­tenden Dokumenten ein vollständiger Überblick zur Datenschutzorganisation geschaffen.

Führen mitgeltender Dokumente

Nachdem die Umsetzung eines Datenschutzmanagements immer die Einbindung vieler Beteiligter erfordert, stellen die Lösungen oftmals auch die Möglichkeit bereit, weitergehende oder mitgeltende Dokumente einzu­betten. Dies könnte bspw. das Sicherheitskonzept für eine Applikation oder der Vertrag über die Auftragsver­arbeitungsvereinbarung nebst Prüfungsergebnis sein.

Umsetzung Betroffenenrechte

Sofern Betroffene ihre Rechte geltend machen, so können Datenschutzlösungen in zwei Richtungen Unter­stützung bieten. Zum einen verhelfen sie der verantwortlichen Organisation zur transparenten und nachweis­baren Abbildung zur Behandlung der einzelnen Anträge gegenüber den Betroffenen. Dies umfasst die Entge­gennahme – ggf. sogar über entsprechende Web-Formulare – bis hin zur abschließenden Stellungnahme. Zum anderen können sie bei der Recherche unterstützen, bspw. nach Betroffenendaten.

Vorfallreaktion

Sollten aus unterschiedlichen Quellen potenzielle Datenpannen entstehen, kann durch eine solche Software der Melde- sowie Bearbeitungsprozess über eine Vielzahl von notwendigerweise einzubindenden Beteiligten leichter orchestriert werden. Dabei stehen neben der Erfüllung der Nachweispflichten auch weitere ad hoc-Maßnahmen per Auswahl zur Verfügung. So kann z.B. die Funktion einer automatisierten Bewertung von Risi­ken bei einer Vielzahl von Providern „abgefragt“ werden.

Wissensdatenbank

Hilfreich stehen solche Software-Lösungen auch zur Seite, wenn es um die Recherche von Rechtsgrundlagen, Best Practice-Hinweisen und Handlungsempfehlungen geht.

Fazit

Unbestritten kann die Anschaffung, Einrichtung und der laufende Betrieb einer Datenschutz-Management-Lösung kostspielig sein. Daher bietet es sich in jedem Falle an, eine Auswahl vor dem Hintergrund des indivi­duellen Bedarfs und potenzieller Synergien zu treffen.