Umsetzung der DSGVO mit Management-System

Bit media hat 20 Aufgaben und Prozesse in der Lösung „PHOENIX Data Protection“ zusammengefasst: Vom Verzeichnis der Verarbeitungstätigkeiten, über IT-Serviceverwaltung bis hin zur Dokumenten- und Vorlagenverwaltung. [...]

Phoenix hilft bei zahlreichen Datenschutz-Prozessen (c) bit media
Phoenix hilft bei zahlreichen Datenschutz-Prozessen (c) bit media

Nur noch wenige Tage bis die DSGVO in Kraft tritt, und das Thema ist allgegenwärtig. In Österreich besteht zwar der Versuch, bestimmte Punkte zu entschärfen, jedoch führt insgesamt kein Weg an einer gesetzeskonformen Umsetzung vorbei. Die wohl größte Änderung ist das Verzeichnis der Verarbeitungstätigkeiten. Jede Organisation welche personenbezogenen Daten regelmäßig verarbeitet, muss ein solches Verzeichnis führen.
Zusätzlich müssen neue Prozesse in den Unternehmen eingeführt werden, da innerhalb von 30 Tagen ein Auskunfts-, Änderungs- oder Löschbegehren von Betroffenen bearbeitet werden muss. Kommt es zu einem Datenschutzvorfall (Data Breach) sind nur 3 Tage Zeit dies der Behörde zu melden und entsprechende Maßnahmen zu setzen. Des Weiteren müssen Informationen der Datenspeicherung öffentlich gemacht werden sowie in vielen Fällen eine Einwilligung der Datenspeicherung eingeholt werden.

Die praktische Umsetzung der DSGVO

Harald Dunst ist Datenschutzbeauftragter und Leiter des Competence Centers „Safety & Security“ bei der bit media e-solutions GmbH
Harald Dunst ist Datenschutzbeauftragter und Leiter des Competence Centers „Safety & Security“ bei der bit media e-solutions GmbH

„Mit einer Datenschutzmanagement-Software lässt sich die DSGVO einfacher und geordnet umsetzen“, meint Harald Dunst, Datenschutzbeauftragter und Leiter des Competence Centers „Safety & Security“ bei bit media e-solutions GmbH. Das Unternehmen bit media hat die Herausforderung nicht nur Daten als Verantwortlicher zu dokumentieren, sondern auch mehrere tausend Verarbeitungen als großer IT-Dienstleister zu protokollieren. Aus diesem Grund wurde gemeinsam mit einer technischen Universität ein System entwickelt, welches alle notwendigen Prozesse und Dokumentationen abdeckt und dabei das eigene Unternehmen, aber auch andere Organisationen unterstützen soll.

Im Fall der bit media wurden zuerst die Aufgaben im Unternehmen identifiziert und im DSMS angelegt. Dies sind lt. Meinung einiger Experten um die 20 Aufgaben bzw. Prozesse, welche jede Organisation beachten muss. Die wichtigsten Prozesse dabei sind folgende:

Datenschutz in die Organisationsstrukturen einführen (Internes Marketing für Führungskräfte und Mitarbeiter)
• Identifizierung aller Datenverarbeitungen von personenbezogenen Daten (Mitarbeiter, Kunden, Lieferanten, Newsletter-Abonnenten, …)
• Risikoanalysen bei Verwendung von besonderen Datenkategorien und Prüfung der technischen und organisatorischen Maßnahmen aller vorhandenen IT Systeme.
• Prüfung und Überarbeitung aller Verträge und Vorlagen (Dienstverträge, Angebote, Serviceverträge, …)
• Überarbeitung der Web-Auftritte bezüglich Einwilligung und Informationspflichten
• Einführung der Prozesse für Betroffenenanfragen, Einhaltung von Löschfristen und Verhalten bei Datenschutzvorfällen
• Schulung aller Beteiligten über die Grundsätze der DSGVO und die definierten Richtlinien im Unternehmen
• Definition der wiederkehrenden Tätigkeiten

Als Auftragsverarbeiter müssen zusätzliche Schritte eingeleitet werden. Die betreuten Softwarelösungen müssen den Grundsätzen „Privacy by Default“ und „Privacy by Design“ entsprechen und jeder Vertragskunde bekommt gesondert eine Information zur Auftragsverarbeitung.

Phoenix: ein rechtssicheres Verzeichnis der Verarbeitungstätigkeiten, eine IT-Serviceverwaltung inkl. Abbildung von technischen und organisatorischen Maßnahmen, sowie eine Dokumenten- und Vorlagenverwaltung (c) bit media
Phoenix: ein rechtssicheres Verzeichnis der Verarbeitungstätigkeiten, eine IT-Serviceverwaltung inkl. Abbildung von technischen und organisatorischen Maßnahmen, sowie eine Dokumenten- und Vorlagenverwaltung (c) bit media

Optimale Unterstützung durch ein Datenschutz-Managementsystem

Für all diese Tätigkeiten können Organisationen nun ein DatenschutzManagementsystem einführen. Dies kann entweder in bestehende Managementprozesse integriert, oder als eigenständiges System etabliert werden. In erster Linie sollten Organisationen darauf achten, dass alle datenschutzrelevanten Informationen und Protokolle gesammelt verwaltet werden. Im Falle von Überprüfungen und Anfragen müssen die Verarbeitungen und Prozesse offengelegt werden. Wichtig dabei ist auch, dass im Falle einer Betroffen-Anfrage die Information der Datenspeicherung rasch gefunden und schnell bearbeitet werden können. All diese Informationen können in einem gemeinsamen Speicherordner abgelegt werden, die vorgeschriebenen Verarbeitungen können z.B. als Text oder in Tabellenformat hinterlegt sein.

Am besten jedoch eignen sich spezielle Datenschutz-Softwarelösungen, welche alle Prozesse der Vorbereitung, Umsetzung und wiederkehrenden Tätigkeiten abdecken und natürlich Verarbeitungstätigkeiten genau protokollieren. Auch die Nachvollziehbarkeit sollte bei solch einem System nicht fehlen. Bearbeitete Anfragen von Betroffenen, Datenschutzvorfälle, aber auch Änderungen von Verarbeitungen bzw. deren Verantwortlichen sollten unwiderruflich dokumentiert sein. Solch ein System sollte auch automatisch die verantwortlichen Personen an wiederkehrende Tätigkeiten erinnern, und im Notfall auch eskalieren. Des Weiteren sollte darauf geachtet werden, dass Risikoanalysen wie die Datenschutzfolgenabschätzung sowie Systemdokumentationen mit technischen und organisatorischen Maßnahmen abgedeckt sind. Größere Unternehmen sowie Auftragsverarbeiter sollten speziell darauf achten, dass solch eine Software mehrere „Mandanten“ verwalten kann, um unterschiedliche Strukturen abzubilden.

Lösung für kleine und große Organisationen

Die von bit media entwickelte Lösung „PHOENIX Data Protection“ richtet sich an alle Organisationen, vom Kleinstbetrieb bis zum Großkonzern, und beinhaltet ein rechtssicheres Verzeichnis der Verarbeitungstätigkeiten, eine IT-Serviceverwaltung inkl. Abbildung von technischen und organisatorischen Maßnahmen sowie eine Dokumenten- und Vorlagenverwaltung. „PHOENIX Data Protection“ bietet zusätzlich bereits vorbereitete Verarbeitungen für unterschiedliche Unternehmensbranchen, öffentlichen Institutionen sowie Vereine an. Spezielle Multiverarbeitungen ermöglichen es Auftragsverarbeiter eine einfache, aber lückenlose Dokumentation der Verarbeitungstätigkeiten. „PHOENIX Data Protection“ ist durch das spezielle Mandantensystem sowohl für kleine Organisationen, aber auch für größere Strukturen optimal einsetzbar. Mehr Informationen finden Sie unter www.phoenix-management.net sowie unter der Datenschutz-Themenseite www.better-safe.eu


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*