Gesetzeskonformer Umgang mit Daten
20.05.2019, 15:31 Uhr
Nützliche Tools zur Bewältigung der DSGVO
Die Umsetzung der DSGVO stellt viele Unternehmen vor grosse Herausforderungen. Für den gesetzeskonforme Umgang mit den Daten gibt es inzwischen zahlreiche nützliche Tools auf dem Markt.
Werden alle Informationspflichten erfüllt? Sind alle datenschutzrelevanten Betriebsabläufe ausreichend dokumentiert? Werden nur die wichtigsten personenbezogenen Daten gespeichert? Das sind nur einige der Fragen, die sich viele Unternehmen auch ein Jahr nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) stellen.
Für die Antworten darauf sind zwei Dinge unerlässlich: ein exakter Überblick, welche Daten verarbeitet und gespeichert werden, sowie unternehmensweit gültige Regeln für das Datenmanagement. Denn Unternehmen aller Grössen haben gegenüber den Behörden nach Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht. Daher muss jede Firma unter anderem ein Verzeichnis aller Datenverarbeitungen führen, die getroffenen technischen und organisatorischen Massnahmen dokumentieren, Vereinbarungen zur Auftragsverarbeitung schliessen und bei Bedarf die Betroffenen über die Verarbeitung informieren.
Tools und Prozesse
Hilfe offerieren zahlreiche Tools, von denen ihre Hersteller versprechen, dass Betriebe damit ihre Daten im Griff behalten. Zum einen sind das spezielle Datenschutz-Tools, zum anderen Erweiterungen für vorhandene Software wie CRM-Lösungen.
Doch Datenschutz ist ein umfangreicher Unternehmensprozess und kann nicht mit dem Einsatz von Software abgedeckt werden. Das bestätigt Elke Bastian, Senior Manager bei der Software AG, einem Anbieter von Unternehmens-Software und Dienstleistungen. "Da man die Datenschutzrichtlinien immer erfüllen muss und nicht nur zu einem bestimmten Stichtag, ist das ein kontinuierlicher Prozess." Sie empfiehlt deshalb, das Thema Datenschutzgrundverordnung in das Geschäftsprozess-Management zu integrieren.
Microsoft schlägt einen standardisierten Prozess aus vier Schritten vor, mit dem Unternehmen ihre DSGVO-Konformität sicherstellen:
- Ermitteln: Identifizieren der personenbezogenen Daten und deren Speicherorte
- Verwalten: Steuern, wie personenbezogene Daten genutzt werden und wie auf Daten zugegriffen wird
- Schützen: Kontrollmassnahmen etablieren, um Datenschutzverletzungen und Datenverluste zu verhindern, aufzudecken und darauf zu reagieren
- Berichten: Archivieren der erforderlichen Dokumentation und Steuern der Datenanfragen und Benachrichtigungen bei Datenschutzverletzungen und Datenpannen.
Unternehmen sollten natürlich in jedem Fall auch darauf achten, dass bereits eingesetzte Software wie das Mail- oder das ERP-System den Anforderungen der DSGVO genügt. Das ist laut Elke Bastian jedoch nur ein Teilaspekt und betrachte nur die IT-Seite. "Auf der anderen Seite gilt es auch, darauf zu achten, dass die Business-Seite gesetzeskonform ist. Damit sind die Prozesse, die individuell im Unternehmen ablaufen, gemeint." Auch der menschliche Faktor spiele eine grosse Rolle: "Wissen alle Mitarbeiter, was sie beachten müssen? Es müssen Trainings gemacht werden, Richtlinien ausgerollt werden und eventuell Umfragen gemacht werden, um fehlende Informationen einzuholen", ergänzt Bastian.
Der Datenschutz ist also ein Komplex aus verschiedenen Massnahmen, die aufeinander abgestimmt werden müssen, und Datenschutzprozesse sind so gesehen vergleichbar mit Prozessen in Buchhaltung, Vertrieb oder internem IT-Support - es sind Geschäftsprozesse. "Die Software ist dabei lediglich ein Werkzeug, um Abläufe und damit verknüpfte Verantwortlichkeiten und Rollen möglichst effizient und einheitlich zu gestalten", betont Florian Fiessmann, Leiter Vertrieb beim IT-Dienstleister Consol in München.
Eine spezielle DSGVO-Software
Ob ergänzend zu bereits im Unternehmen vorhandenen Programmen eine spezielle DSGVO-Software vonnöten ist, hängt von vielen Faktoren im jeweiligen Unternehmen ab: der Sensibilität der Daten, den internen Prozessen sowie der Grösse des Betriebs. "Sollen lediglich Verarbeitungstätigkeiten von personenbezogenen Daten dokumentiert werden, kann eine DSGVO-Software möglicherweise sogar das Handling erschweren. Um hingegen Thematiken wie Datenschutzfolgeabschätzungen oder Risiko- und Massnahmenmanagement abzudecken, kommt man um ein gutes Werkzeug in Form einer Software kaum herum", so Florian Fiessmann.
Nach Ansicht von Carina Thomas, Geschäftsführerin bei Acronum, einem Beratungsunternehmen für Informationssicherheit und Datenschutz, sowie Beraterin für den IT-Dienstleister ditpro in Dresden, unterstützen Software-Tools Unternehmen durchaus bei der Implementierung von Datenschutzrichtlinien. Da die Einführung einer DSGVO-Strategie im Unternehmen ein umfangreiches Unterfangen ist - angefangen von der Analyse aller datenschutzrelevanten Prozesse bis hin zur Schulung der Mitarbeiter -, könnten je nach Personal, Budget und operativem Tagesgeschäft ohne Weiteres zwei Jahre bis zur erfolgreichen Implementierung vergehen. Für die Umsetzung der Anforderungen sei es möglich, eine Software zu nutzen. Sie gibt aber zu bedenken, dass man sich bei der Umsetzung fachkundig beraten lassen sollte, um den roten Faden nicht zu verlieren.