Softwaregestützte Einhaltung der EU-DSGVO

Softwaregestützte Einhaltung der EU-DSGVOPixabay

Datenschutz nach EU-DSGVO

In einem früheren Blogbeitrag haben wir bereits Inhalt und Anforderungen die mit der Europäischen Datenschutzgrundverordnung (EU-DSGVO) einhergehen vorgestellt. In diesem Blogbeitrag wollen wir die Unterstützungsmöglichkeiten genauer betrachten, die Ihnen die Software ibi systems iris hinsichtlich der EU-DSGVO bietet. Hierzu legen wir den Fokus auf zwei zentrale Bestandteile, die nach dem europäischen Gesetz bei der Implementierung des Datenschutzmanagements nicht fehlen sollten. Die Erstellung des Verfahrensverzeichnisses und die Durchführung einer Datenschutzfolgenabschätzung.

Softwaregestützte Erstellung des Verfahrensverzeichnisses

Nach Art. 30 der EU-DSGVO soll jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen führen. Welche Angaben dieses Verzeichnis beinhaltet, wird in der Verordnung aufgeführt. Das Verzeichnis aller Verarbeitungstätigkeiten wird auch als „Verfahrensverzeichnis“ bezeichnet.

Verfahrensverzeichnis in ibi systems iris

In ibi systems iris lassen sich die Verarbeitungstätigkeiten als „Prozesse“ anlegen. Zu jedem dieser Prozesse kann dann eine Checkliste (in iris „Prüfung“) angelegt und befüllt werden, die die erforderlichen Informationen zur Erfassung der Verarbeitungstätigkeiten nach Datenschutzgrundverordnung enthält. Diese Prüfung kann dabei entweder an die verschiedenen Prozessverantwortlichen zugewiesen und durchgeführt werden oder diese Schritte werden von wenigen Personen an zentraler Stelle übernommen.

Diese Prüfungen stellen zusammen schließlich das Verfahrensverzeichnis nach EU-DSGVO dar und können in verschiedenen Formaten (z.B. Word, Excel, PDF) exportiert werden.

Datenschutzfolgenabschätzung (oder auch: Risikomanagement) mit ibi systems iris

In Art. 35 (1) der EU-DSGVO heißt es: „Hat eine Form der Verarbeitung, […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Ebenso wird unter dem Art. 35 (7) festgelegt, was für eine Folgenabschätzung mindestens enthalten sein soll:

  1. Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke der Verarbeitung
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
  3. Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  4. Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen
Datenschutzfolgenabschätzung bzw. Risikomanagement mit ibi systems iris

Punkt 1 und 2 aus obiger Liste sind bereits im Verfahrensverzeichnis enthalten und können alternativ auch im Feld „Beschreibung“ eines Prozesses in ibi systems iris angegeben werden.

Bewertung der Risiken

Hinsichtlich Punkt 3 sind die Risiken in ibi systems iris zuerst anzulegen und mit den betroffenen Prozessen (= betrachtete Verarbeitungstätigkeiten) zu verknüpfen. Dadurch ist ein Risiko genauer beschrieben und in den semantischen Kontext der Organisation eingebettet. Über den Verknüpfungspfad und geeignete Filter lassen sich so die Zusammenhänge jederzeit, schnell erkennen und darstellen.

Sobald das Risiko textuell und mit Hilfe der erforderlichen Verknüpfungen beschrieben wurde, ist die Bewertung hinsichtlich Eintrittswahrscheinlichkeit und Schadensauswirkung vorzunehmen. Hierzu stehen mehrere Alternative Bewertungsmethoden zur Verfügung (Einfach, kategoriebasierte Bewertung mit Durchschnitt bzw. Maximalwert).

Risikobewertung

Nachdem die erste (IST-)Bewertung vorgenommen wurde, ist eine geeignete Risikobehandlungsstrategie (z.B. Risikotransfer) inklusive zugehöriger Maßnahme(n) (z.B. Abschließen einer Versicherung) zu definieren. Danach kann noch eine zugehörige SOLL-Bewertung angegeben werden, die die beabsichtigte Risikoentwicklung abbildet und im Wesentlichen dieselben Möglichkeiten bietet wie die IST-Bewertung. Die SOLL-Bewertung ist hier ein rein kalkulatorischer Wert (z.B. „Risikotransfer“ mit der zugehörigen Maßnahme „Abschließen einer Versicherung“ soll zu einer Minderung der Schadenauswirkung führen).

Die tatsächliche Neubewertung (neue IST-Bewertung) findet dann nach abgeschlossener Risikobehandlung bzw. umgesetzter Maßnahme statt. Dieser iterative Vorgang wiederholt sich so lange, bis das Risiko ein Niveau erreich, welches so akzeptiert werden kann (Risikobehandlung = Risikoakzeptanz).

Abhilfemaßnahmen

Wie zuvor beschrieben finden sich also die weiter oben unter Punkt 4 erwähnten Abhilfemaßnahmen zur Bewältigung der Risiken bei den jeweiligen Bewertungen im beschriebenen iterativen Vorgehen wieder. Diese Maßnahmen können von verantwortlichen Personen definiert und zur Umsetzung ggf. auch an andere Personen zugewiesen werden. Die Definition umfasst die Setzung angemessener Fristen und die Beschreibung was getan werden soll. Die Umsetzung wird beinhaltet ein Umsetzungsdatum, ein Ergebnis in Form eines Freitextfeldes und die Möglichkeit Dokumente als Nachweis anzuhängen. All diese so definierten (Abhilfe)Maßnahmen sind in übersichtlicher Art und Weise in Form einer Liste dargestellt und durch geeignete Filter, Reports und Dashboards zu tracken.

Tracking der Abhilfemaßnahmen

Fazit zur EU-DSGVO mit ibi systems iris

Die Software ibi systems iris unterstützt Sie also vor allem bei der Erstellung des Verfahrensverzeichnisses sowie bei der Datenschutzfolgenabschätzung. Falls wir Ihr Interesse geweckt haben, freuen wir uns auf Ihre Anfrage und beantworten Ihnen gerne eventuell offene Fragen.

 

Haben wir Ihr Interesse geweckt?

Kontaktieren Sie uns!

 

Zurück zur Übersicht

____________________

/von