Umsetzung der DSGVO mit Management-System

Bit media hat 20 Aufgaben und Prozesse in der Lösung „PHOENIX Data Protection“ zusammengefasst: Vom Verzeichnis der Verarbeitungstätigkeiten, über IT-Serviceverwaltung bis hin zur Dokumenten- und Vorlagenverwaltung. [...]

Phoenix hilft bei zahlreichen Datenschutz-Prozessen (c) bit media
Phoenix hilft bei zahlreichen Datenschutz-Prozessen (c) bit media

Nur noch wenige Tage bis die DSGVO in Kraft tritt, und das Thema ist allgegenwärtig. In Österreich besteht zwar der Versuch, bestimmte Punkte zu entschärfen, jedoch führt insgesamt kein Weg an einer gesetzeskonformen Umsetzung vorbei. Die wohl größte Änderung ist das Verzeichnis der Verarbeitungstätigkeiten. Jede Organisation welche personenbezogenen Daten regelmäßig verarbeitet, muss ein solches Verzeichnis führen.
Zusätzlich müssen neue Prozesse in den Unternehmen eingeführt werden, da innerhalb von 30 Tagen ein Auskunfts-, Änderungs- oder Löschbegehren von Betroffenen bearbeitet werden muss. Kommt es zu einem Datenschutzvorfall (Data Breach) sind nur 3 Tage Zeit dies der Behörde zu melden und entsprechende Maßnahmen zu setzen. Des Weiteren müssen Informationen der Datenspeicherung öffentlich gemacht werden sowie in vielen Fällen eine Einwilligung der Datenspeicherung eingeholt werden.

Die praktische Umsetzung der DSGVO

Harald Dunst ist Datenschutzbeauftragter und Leiter des Competence Centers „Safety & Security“ bei der bit media e-solutions GmbH
Harald Dunst ist Datenschutzbeauftragter und Leiter des Competence Centers „Safety & Security“ bei der bit media e-solutions GmbH

„Mit einer Datenschutzmanagement-Software lässt sich die DSGVO einfacher und geordnet umsetzen“, meint Harald Dunst, Datenschutzbeauftragter und Leiter des Competence Centers „Safety & Security“ bei bit media e-solutions GmbH. Das Unternehmen bit media hat die Herausforderung nicht nur Daten als Verantwortlicher zu dokumentieren, sondern auch mehrere tausend Verarbeitungen als großer IT-Dienstleister zu protokollieren. Aus diesem Grund wurde gemeinsam mit einer technischen Universität ein System entwickelt, welches alle notwendigen Prozesse und Dokumentationen abdeckt und dabei das eigene Unternehmen, aber auch andere Organisationen unterstützen soll.

Im Fall der bit media wurden zuerst die Aufgaben im Unternehmen identifiziert und im DSMS angelegt. Dies sind lt. Meinung einiger Experten um die 20 Aufgaben bzw. Prozesse, welche jede Organisation beachten muss. Die wichtigsten Prozesse dabei sind folgende:

Datenschutz in die Organisationsstrukturen einführen (Internes Marketing für Führungskräfte und Mitarbeiter)
• Identifizierung aller Datenverarbeitungen von personenbezogenen Daten (Mitarbeiter, Kunden, Lieferanten, Newsletter-Abonnenten, …)
• Risikoanalysen bei Verwendung von besonderen Datenkategorien und Prüfung der technischen und organisatorischen Maßnahmen aller vorhandenen IT Systeme.
• Prüfung und Überarbeitung aller Verträge und Vorlagen (Dienstverträge, Angebote, Serviceverträge, …)
• Überarbeitung der Web-Auftritte bezüglich Einwilligung und Informationspflichten
• Einführung der Prozesse für Betroffenenanfragen, Einhaltung von Löschfristen und Verhalten bei Datenschutzvorfällen
• Schulung aller Beteiligten über die Grundsätze der DSGVO und die definierten Richtlinien im Unternehmen
• Definition der wiederkehrenden Tätigkeiten

Als Auftragsverarbeiter müssen zusätzliche Schritte eingeleitet werden. Die betreuten Softwarelösungen müssen den Grundsätzen „Privacy by Default“ und „Privacy by Design“ entsprechen und jeder Vertragskunde bekommt gesondert eine Information zur Auftragsverarbeitung.

Phoenix: ein rechtssicheres Verzeichnis der Verarbeitungstätigkeiten, eine IT-Serviceverwaltung inkl. Abbildung von technischen und organisatorischen Maßnahmen, sowie eine Dokumenten- und Vorlagenverwaltung (c) bit media
Phoenix: ein rechtssicheres Verzeichnis der Verarbeitungstätigkeiten, eine IT-Serviceverwaltung inkl. Abbildung von technischen und organisatorischen Maßnahmen, sowie eine Dokumenten- und Vorlagenverwaltung (c) bit media

Optimale Unterstützung durch ein Datenschutz-Managementsystem

Für all diese Tätigkeiten können Organisationen nun ein DatenschutzManagementsystem einführen. Dies kann entweder in bestehende Managementprozesse integriert, oder als eigenständiges System etabliert werden. In erster Linie sollten Organisationen darauf achten, dass alle datenschutzrelevanten Informationen und Protokolle gesammelt verwaltet werden. Im Falle von Überprüfungen und Anfragen müssen die Verarbeitungen und Prozesse offengelegt werden. Wichtig dabei ist auch, dass im Falle einer Betroffen-Anfrage die Information der Datenspeicherung rasch gefunden und schnell bearbeitet werden können. All diese Informationen können in einem gemeinsamen Speicherordner abgelegt werden, die vorgeschriebenen Verarbeitungen können z.B. als Text oder in Tabellenformat hinterlegt sein.

Am besten jedoch eignen sich spezielle Datenschutz-Softwarelösungen, welche alle Prozesse der Vorbereitung, Umsetzung und wiederkehrenden Tätigkeiten abdecken und natürlich Verarbeitungstätigkeiten genau protokollieren. Auch die Nachvollziehbarkeit sollte bei solch einem System nicht fehlen. Bearbeitete Anfragen von Betroffenen, Datenschutzvorfälle, aber auch Änderungen von Verarbeitungen bzw. deren Verantwortlichen sollten unwiderruflich dokumentiert sein. Solch ein System sollte auch automatisch die verantwortlichen Personen an wiederkehrende Tätigkeiten erinnern, und im Notfall auch eskalieren. Des Weiteren sollte darauf geachtet werden, dass Risikoanalysen wie die Datenschutzfolgenabschätzung sowie Systemdokumentationen mit technischen und organisatorischen Maßnahmen abgedeckt sind. Größere Unternehmen sowie Auftragsverarbeiter sollten speziell darauf achten, dass solch eine Software mehrere „Mandanten“ verwalten kann, um unterschiedliche Strukturen abzubilden.

Lösung für kleine und große Organisationen

Die von bit media entwickelte Lösung „PHOENIX Data Protection“ richtet sich an alle Organisationen, vom Kleinstbetrieb bis zum Großkonzern, und beinhaltet ein rechtssicheres Verzeichnis der Verarbeitungstätigkeiten, eine IT-Serviceverwaltung inkl. Abbildung von technischen und organisatorischen Maßnahmen sowie eine Dokumenten- und Vorlagenverwaltung. „PHOENIX Data Protection“ bietet zusätzlich bereits vorbereitete Verarbeitungen für unterschiedliche Unternehmensbranchen, öffentlichen Institutionen sowie Vereine an. Spezielle Multiverarbeitungen ermöglichen es Auftragsverarbeiter eine einfache, aber lückenlose Dokumentation der Verarbeitungstätigkeiten. „PHOENIX Data Protection“ ist durch das spezielle Mandantensystem sowohl für kleine Organisationen, aber auch für größere Strukturen optimal einsetzbar. Mehr Informationen finden Sie unter www.phoenix-management.net sowie unter der Datenschutz-Themenseite www.better-safe.eu


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*