Datenschutz mit Software
Erste Schritte am Beispiel der Data Protection Software Privacy
Privacy von Data Reporter ist ein intuitives Tool, dass Dich als Expertin oder Experten dabei unterstützt, all Deine Datenschutzagenden bzw. die Deines Unternehmens abzuwickeln und zu dokumentieren.
Die Anforderungen an eine Data Protection Software sind höchst unterschiedlich und die Möglichkeiten mit Privacy sind vielfältig. Damit Du die Vorteile von Privacy möglichst rasch für Dich nutzen kannst, haben wir im Folgenden die ersten und allgemein gültigen Schritte zusammengefasst.
Damit Dich Privacy von Beginn an bei all deinen Datenschutzagenden bestmöglich unterstützt, ist es wesentlich das System mit den entscheidenden Informationen zu befüllen. Im ersten Schritt geht es darum, relevante Daten und Informationen vorzubereiten, damit Du sie anschließend einfach und strukturiert in Privacy übertragen kannst.
Abbildung 1: Schematische Darstellung der Inhaltsstruktur in Privacy
Ziel der ersten Schritte
Das Ziel des strukturierten Starts mit Privacy ist die:
- Dokumentation grundlegender Organisationsdaten
- Festlegung (erster) Systemnutzer
- Erstellung des Verzeichnis von Verarbeitungstätigkeiten
- Dokumentation der technischen und organisatorischen Maßnahmen
- Erstellung der Liste von Auftragsverarbeitern
Dafür sind die nach dem Exkurs beschriebenen vorbereitenden Handlungen notwendig.
Exkurs: Kurzeinführung Datenschutz
(um dasselbe Begriffsverständnis bei „personenbezogenen Daten“ zu haben – vgl. auch Artikel 4, DSGVO):
Beim Datenschutz geht es um den Schutz von personenbezogenen Daten. Personenbezogene Daten sind dabei sämtliche Informationen die sich auf eine bestimmte oder bestimmbare Person beziehen. Typischerweise sind dies Daten wie Name, Adresse, Geburtsdatum, Geschlecht, Alter, Sozialversicherungsdaten sowie insgesamt alle mit einer Person verbundenen Daten.
ACHTUNG: auch eine IP-Adresse, sowie ein KFZ-Kennzeichen, sowie ein Video oder ein Bild von einer Person ohne der Angabe eines Namens, sind personenbezogene Daten, sofern die jeweilige Person mit rechtlich zulässigen Mitteln identifiziert werden kann!
Besonders beachtenswerte Daten sind die sogenannten sensiblen Daten oder besondere Kategorie von Daten. Es handelt sich dabei ausschließlich um Daten über die rassische oder ethnische Herkunft, die politische Meinung, die religiöse oder weltanschauliche Überzeugung (z.B. Religionsbekenntnis zur Feiertagsverwaltung), genetische oder biometrische Daten (z.B. Fingerprint), Gesundheitsdaten (wie z.B. Krankenstände), die Gewerkschaftszugehörigkeit, sowie Daten über das Sexualleben oder die sexuelle Orientierung.
Relevante Daten sind im Rahmen unserer Tätigkeiten nicht nur Kunden- und Mitarbeiterdaten sondern auch Daten von Patienten, Mitgliedern, Schülern, Gästen, Ansprechpartnern bei Lieferanten oder sonstigen Partnern und Personen deren Daten wir verarbeiten.
1.) Vorbereitung Organisationsdaten
Damit Privacy korrekte Ergebnisse und Berichte je Organisation liefert, ist es essentiell, dass Deine Organisationsstruktur in Privacy korrekt erfasst ist. Erstelle dazu eine umfassende Liste der Organisationen, die in Privacy abgebildet werden sollen (inkl. juristisch eigenständiger Organisationen, nicht juristischer Einheiten wie Niederlassungen etc.) und deren Hierarchie.
Stelle Dir die Frage, ob es ein aktuelles Organigramm gibt, das die Gesamtstruktur widerspiegelt und das hierfür als Quelle herangezogen werden könnte. Erfasse die notwendigen Details wie Anschrift, Kontaktdaten etc. für die jeweilige Organisation. Diese Daten finden dann in den Berichten für die Aufsichtsbehörde Verwendung.
Ermittle zudem für jede Organisation jene Personen, die dort die folgende Rollen bekleiden, und deren E-Mailadresse.
- Geschäftsführer/Verantwortlicher
- Datenschutzbeauftragter
- Datenschutzkoordinator
Geschäftsführer/Verantwortlicher ist dabei jene Person oder jene Personen, welche die Organisation nach außen vertreten. Soweit es eine spezielle Bezeichnung für die vertretungsbefugte Person gibt, wie z.B. Vorsitzender, Vorstand etc. nutze hierzu die Angaben zur Funktion der jeweiligen Person. Ordne dann die Rolle einer entsprechenden Organisation zu. Mehrfachnennungen sind dabei natürlich möglich und auch zulässig.
2.) Vorbereitung Systemnutzer
Wichtig zu Beginn ist es, sich Gedanken über mögliche Zugangsberechtigungen zum System Privacy zu machen.
Achtung!
Bitte unterscheide hierfür die Zugangsberechtigungen zum DataReporter Lizenzstore, die insbesondere dazu dienen, Lizenzen einzusehen und diese vom Store aus zu öffnen. In Privacy selbst ist es möglich direkt zur Privacy Lizenz einen direkten Zugang zu gewähren und dafür Berechtigungen im System zu vergeben. Der Einstieg für den jeweiligen Nutzer erfolgt dann nicht über den Lizenzstore sondern über einen direkten Einstiegslink zu Privacy.
Stelle dir auch die Frage welche Personen können essentiell bei der Aufbereitung der Datenschutzdokumentation in der Organisation helfen? Du kannst natürlich Zugangsberechtigungen später immer noch ergänzen und ändern.
Erfasse dafür jene Personen inklusive E-Mailadresse, welche Zugang zu Privacy erhalten sollen.
Praxistipp für die konkrete Umsetzung in Privacy
Sofern diese Person bereits eine Rolle in der Organisation inne hat und bereits als Kontakt im System vorhanden ist, kannst Du natürlich diesen Kontakt zur Vergabe von Zugangsberechtigungen nutzen. Lege dafür den jeweiligen Kontakt als Systemnutzer an und erteile diesem die entsprechenden Schreib- und Leseberechtigungen. Weitere Systemnutzer oder Änderungen kannst Du - wie erwähnt - auch später zu jeder Zeit ergänzen.
3.) Vorbereitung Verarbeitungsverzeichnis
Zuerst geht es darum, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und jede Anwendung (siehe Definition unten) einer dafür verantwortlichen Person zuzuordnen. Hierfür dienen als Basis jene Anwendungen (auch manchmal Systeme, Applikationen oder Teilprozesse genannt) in einer Organisation mit denen personenbezogene Daten verarbeitet werden. Erfasse als Vorbereitung alle relevanten Anwendungen und die dafür verantwortlichen Personen (z.B. Emilia Einkauf, verantwortlich für SAP).
Die Praxis hat gezeigt, dass es sich empfiehlt, hier (zu Beginn) auf die wirklich wichtigen Anwendungen zu fokussieren und nach Prioritäten zu handeln. Vorrang bei einer derart risikoorientierten Vorgehensweise haben Anwendungen, die für die Erfüllung von Betroffenenprozesse (Auskunft) besonders relevant sind oder die kritische Verarbeitungsschritte (z.B. Übermittlung in ein Drittland) bzw. sensible Daten beinhalten. Wer von Anfang an jeden kleinen Stein umdreht, riskiert das große Ganze aus den Augen zu verlieren. Nachträgliche Ergänzungen und vertiefende Betrachtung einzelner Aspekte sind in Privacy einfach umzusetzen.
Definition Anwendung
Eine Anwendung liegt vor, wenn zur Erreichung eines inhaltlich bestimmten Zweckes personenbezogene Daten zur Gänze oder auch nur teilweise automationsunterstützt verarbeitet werden. Es ist dabei unerheblich ob dies durch eine eigene IT-Software oder mit Hilfe eines vorhandenen Hilfstool (wie z.B. Excel, Word, Access → z.B. Verarbeitung von Mitarbeiterdaten in Excel, Veranstaltungslisten in Word) vorgenommen wird. Auch die manuelle Verarbeitung von Daten gilt als Anwendung, sofern es sich um eine strukturierte Sammlung von Daten handelt, die nach mindestens einem Suchkriterium zugänglich und organisiert ist (z.B. der Personalakt in strukturierten Ordnern im Archiv).
Typische Beispiele für Anwendungen:
- Urlaubs- und Krankenstandslisten der Mitarbeiter in Excel Listen
- Geburtstagslisten der Mitarbeiter in Word
- Urlaubs- und Zeitausgleichs-Freigabe in Excel
- Bewerberverwaltung mit PDF Bewerbungen am Server
- Videoüberwachungsystem (Wichtig: hier solltest Du auch Kamerastandorte erfassen!)
- Zutrittskontrollsystem mittels elektronischem Chip
- Newsletterservice
- Umfragetools im Rahmen der Kundenbetreuung
- Online Shop auf der Website
- Service- und Ticketsystem für IT Probleme
- EDV-System zur Gästeverwaltung
- Kassensystem zur Gutscheinverwaltung
Fazit
Derartige relevante Anwendungen gilt es zu ermitteln (hier geht es vor allem um Deine konkret eingesetzten Systeme – also jene Orte, an denen personenbezogene Daten bei Dir in der Organisation liegen. Deine Aufgabe ist es dann in einem weiteren Schritt, solche Anwendungen nach Zwecken zu gruppieren und Verarbeitungstätigkeiten zuzuordnen, die dann inhaltlich mit Hilfe der Privacy Musterbibliothek oder anhand selbst erstellter Verarbeitungstätigkeiten elektronisch dokumentiert werden. Dafür kannst Du auf in Privacy vordefinierte typische Muster-Verarbeitungstätigkeiten zurückgreifen.
Bei der Erfassung relevanter Anwendungen solltest Du jedenfalls an folgende Bereiche innerhalb Deiner Organisation denken:
- Personalverwaltung
- Bewerberverwaltung
- Gästeverwaltung
- Kundenverwaltung
- Videoüberwachung
- Zutrittssystem
- Internetauftritt (inkl. Webshop)
- Marketing in Form von Gewinnspielen, Newslettern, Umfragen, Veranstaltungen etc.
- Benutzerverwaltung im Rahmen von IT-Zugängen (z.B. für Mitarbeiter)
Zur strukturierten Aufarbeitung der Anwendungen empfiehlt es sich eine Liste mit allen relevante Anwendungen und der jeweils dafür verantwortlichen Person zu erstellen.
Vergleichswert: Bei Organisationen mittlerer Größe wurden bisher meist um die 50-100 Anwendungen im System definiert.
4.) Vorbereitung Technische und organisatorische Maßnahmen (TOM), vgl. auch Artikel 32, DSGVO
Jeder Verantwortliche hat darzustellen, welche technischen und organisatorischen Maßnahmen er setzt, um personenbezogene Daten zu schützen. Dies ist in einem eigenen Bericht detailliert und strukturiert zu dokumentieren.
In Privacy von DataReporter findest Du eine Bibliothek mit mehr als 150 Vorlagen für relevante TOMs, die Du einfach durchgehen und an Deine Anforderungen anpassen kannst. Damit kommst Du rasch zu einem fundierten Ergebnis.
Gleichzeitig musst Du Dir natürlich die Frage stellen, ob die gesetzten Maßnahmen ausreichen und ob es da und dort noch offene Maßnahmen gibt. Die vordefinierten Detailbeschreibungen für die einzelnen Maßnahmen in der Bibliothek sollten einfach auf die tatsächlichen Gegebenheiten der Organisation angepasst werden können.
Typische TOMs sind z.B.:
- Videoüberwachung- Alarmsystem- Feuer- und Rauchmeldeanlagen- Geräte zur Temperatur und Feuchtigkeitsüberwachung- Klimaanlage in Serverräumen
- Unterbrechungsfreie Stromversorgung- Backup & Recoverykonzept
- Notfallplan- Testen von Datenwiederherstellungen
- elektronische Zutrittskontrolle
- Einsatz von Aktenvernichtern
- Einsatz von Firewalls- Einsatz von Anti-Viren Software
- Einsatz von VPN-Technologie- Passwortrichtlinien- Benutzerprofile mit Berechtigungssystem
- IT Nutzungsrichtlinien
- Richtlinien zum Datenschutz
- Sorgfältige Auswahl von Reinigungs- und Sicherheitspersonal
- Verschlüsselung von Datenträgern, Smartphones, Email-Korrespondenz
- Mobile Device Management
- Protokollierung von Eingabe, Änderung und Löschung von Daten
- Benennung eines Datenschutzbeauftragten
Fazit
Am Ende des Tages benötigst Du hier die Maßnahmen die in Deiner Organisation gesetzt werden inkl. ein paar aussagekräftiger Zeilen, wie eine Maßnahme konkret in Deiner Organisation umgesetzt wurde.
Die Zuordnung einer Maßnahme zu einer Organisation oder einer bestimmten Verarbeitungstätigkeit, wie auch sogar einer speziellen Technologie oder eines Speicherortes, können ebenso vorgenommen werden.
Im ersten Schritt genügt es aber folgende Maßnahmen darzustellen:
- allgemein gültige technische und organisatorische Maßnahmen
- (ev. lokal) spezifische Maßnahmen für eine Organisation (wie z.B. eine Videoüberwachung)
5.) Vorbereitung Auftragsverarbeiter, vgl. auch Artikel 28 DSGVO
Als letzte Vorbereitung für die komplette Befüllung der Data Protection Software Privacy benötigst Du eine Liste der Dienstleister im Datenschutz, den sogenannten Auftragsverarbeitern. Die Dienstleister ergeben sich relativ einfach aus den Überlegungen zu den relevanten Anwendungen unter Punkt 1.
Praxisbeispiel
Z.B. ein Newslettertool läuft servertechnisch bei einem Dienstleister. Da dort zumindest E-Mail Adressen von Kunden, Gästen bzw. Interessenten verwaltet werden, handelt es sich bei diesem Anbieter um einen Auftragsverarbeiter. Z.B. auch Google ist ein Auftragsverarbeiter, soweit Du über die Website diverse Google Services wie Google Analytics nutzt und dadurch Daten von Besuchern Deiner Website verarbeitest.
Typische Auftragsverarbeiter sind z.B.:
- Akten- und Hardware-Entsorgungsunternehmen wie z.B. Reisswolf
- Anbieter von cloudbasierten Anwendungen in denen personenbezogene Daten verarbeitet werden (z.B. DataReporter).
- Anbieter von Newslettertools (z.B. Mailchimp)
- Marketingunternehmen die als Lettershop in Deinem Namen Gäste anschreiben
- IT-Dienstleister die Wartungsleistungen remote durchführen
Stellen Dir die Frage: “Gibt es bereits eine Liste von Auftragsverarbeitern und/oder unterschriebene AV Verträgen, die Du bereits im System hinterlegen könntest?”
Tipp
Erstelle über die Funktion “Reports” regelmäßig Berichte um die Fortschritte der Dokumentation Verarbeitungsverzeichnis und der technischen und organisatorischen Maßnahmen zu prüfen.
Zusammenfassung der notwendigen Vorbereitungshandlungen:
- Dokumentation grundlegender Organisationsdaten
- Festlegung (erster) Systemnutzer
- Erfassung der relevanten Anwendungen in einer Liste
- Dokumentation der technischen und organisatorischen Maßnahmen
- Erstellung der Liste von Auftragsverarbeitern
Im folgenden Ordner liegen alle Importdateien im richtigen Format für Sie zum Download bereit:
Importdateien downloaden |
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.