Autorin – Anke Vortmann, Product Manager bei der d.velop AG
Über die Datenschutz-Grundverordnung (DSGVO) zur Wahrung des Schutzes personenbezogener Daten, im Englischen General Data Protection Regulation (GDPR), wird unverändert diskutiert. Und noch immer sind zahlreiche Unternehmen damit beschäftigt, die umfassenden Anforderungen der Verordnung in den Griff zu bekommen – oft ein mühsamer Prozess. Denn der Arbeitsaufwand, um Unternehmen und Organisationen langfristig DSGVO-konform zu machen, ist nicht zu unterschätzen. Die Komplexität steigt weiter, wenn die spezifischen Herausforderungen einer bestimmten Branche hinzukommen.
Ebenfalls problematisch ist die Tatsache, dass in vielen Unternehmen datenschutzrelevante Prozesse unter Abschätzung der Risiken für die Daten natürlicher Personen und der Betroffenenrechte manuell zusammengetragen und dokumentiert werden. Verantwortliche Mitarbeiter stehen dann vor der Herausforderung, diese Risiken mit den gesetzlichen Vorschriften abzugleichen, um die geforderten geeigneten technischen und organisatorischen Maßnahmen (TOM) zum Schutz personenbezogener Daten zu definieren.
Softwarebasierte Unterstützung
Mittlerweile sind Werkzeuge verfügbar, die Unternehmen und Organisationen auf ihrem Weg durch die DSGVO unterstützen. Hilfreich können hier insbesondere ECM-Tools sein, die bei der Umsetzung der Richtlinie für Transparenz sorgen und im Hinblick auf Prozessanalyse und Dokumentation helfen. Sie dienen dazu, den Anwender strukturiert anzuleiten und beschleunigen den Gesamtprozess zur Erfüllung der Rechenschaftspflichten erheblich, auch wenn das entsprechende Angebot nicht besonders groß ist. So bietet beispielsweise das GDPR Compliance Center von d.velop Unternehmen eine zentrale Plattform für die digitale Zusammenarbeit und ist branchenspezifisch anpassbar. Die schlanke, schnell zu implementierende Lösung steht On-Premises und aus der Cloud zur Verfügung.
Automatisiertes Erfassen
Soll eine Lösung den Nutzer wirklich umfassend unterstützen, muss sie den kompletten Umsetzungsprozess abbilden – von der Analyse der Ausgangssituation bis hin zur Dokumentation der Verarbeitungstätigkeiten. Im Falle des GDPR Compliance Centers geschieht dies mithilfe von Fragebögen, Dashboards und anpassbaren Vorlagen. So vereinfachen integrierte Dokumente, etwa für technische Systemdokumentationen oder technisch-organisatorische Maßnahmen, die Erfüllung von Anforderungen der Verordnung. Ein besonderer Vorteil: Erfasste Informationen werden automatisch im zentralen Verzeichnis der Verarbeitungstätigkeiten (VVT) zur Verfügung gestellt.
Dieses Verzeichnis der Verarbeitungstätigkeiten ist ein zentraler Bestandteil der DSGVO. Es ist mit dem früheren Verfahrensverzeichnis zu vergleichen, muss allerdings jederzeit und komplett einer zuständigen Aufsichtsbehörde vorgelegt werden können, ist deutlich umfangreicher und kann schriftlich oder elektronisch aufgelegt werden. Verstöße gegen die Erfüllung dieser Pflicht können mit einem Bußgeld geahndet werden. In dem Verzeichnis sind alle Verfahren zu erfassen, bei denen in einem Unternehmen oder einer Organisation personenbezogene Daten verarbeitet werden. Zudem sind die damit verbundenen Maßnahmen zur Wahrung des Datenschutzes zu benennen.
Die verschärfte Rechenschaftspflicht ist für viele Unternehmen und Organisationen eine der großen Herausforderungen bei der Umsetzung der DSGVO. Denn letztlich sind sämtliche Geschäftsprozesse unter den fraglichen Aspekten zu überprüfen. Die automatische Erstellung des Verzeichnisses der Verarbeitungstätigkeiten und die permanente Aktualisierung durch das Compliance Center ist für den Anwender daher eine ganz wesentliche Entlastung.
Zentrale Ablage- und Zugriffsstrukturen
Die Fragebögen des Compliance Centers leiten den Nutzer durch die Erfassung und Analyse von Verarbeitungstätigkeiten. Und dies bei Prozessen, IT-Services und Dienstleistern. Die verschiedenen Fragenkataloge sind durch Experten inhaltlich vordefiniert, lassen sich aber via Editor an die Anforderungen eines konkreten Unternehmens anpassen. Ausgehend von den Fragen und Antwortoptionen werden abschließend die Risiken und Schutzbedarfe personenbezogener Daten abgeleitet. Ein in die Lösung integriertes Dashboard – der zentrale Einstieg in die Anwendung – kumuliert und visualisiert abschließend wesentliche Kennzahlen, etwa den Status, das Risiko oder die Bearbeitungsfristen von Verarbeitungstätigkeiten. Die erfassten Informationen werden in digitalen Akten gespeichert und dann automatisch dem Verzeichnis von Verarbeitungstätigkeiten zur Verfügung gestellt.
Dashboard – Anzeige der wesentlichen Informationen
Die digitalen Akten sind in diesem Kontext ein wirksames Werkzeug, um den Rechenschafts- und Dokumentationspflichten gerecht zu werden. Sie ermöglichen dem Nutzer zentrale Ablagestrukturen zur Erfüllung von datenschutzrelevanten Rechenschafts- und Dokumentationspflichten in digitaler Form. Zudem lassen sich personenbezogene Daten und Dokumente dort sicher aufbewahren, der Zugriff kann genau gesteuert werden, Einsichtnahmen und Veränderungen werden verlässlich dokumentiert und auf Anfrage lassen sich Daten problemlos auch wieder entfernen. Auch in diesem Fall dient das Dashboard als Portal zur verteilten Bearbeitung des Umsetzungsprozesses in den zuständigen Fachabteilungen
Fazit
Aktuell ist noch nicht ganz klar, wie die Einhaltung der Regelungen im konkreten Fall kontrolliert wird. Und Prüfungen über die Einhaltung der Verpflichtungen aus der DSGVO sind noch nicht sehr zahlreich, oder zumindest noch nicht an die Öffentlichkeit gedrungen. Auch Zertifizierungen sind bislang noch nicht existent. So ist beispielsweise bislang erst eine Gerichtsentscheidung zur DSGVO-Konformität der Datenschutzerklärung auf einer Website bekannt.
Dennoch sollten Unternehmen möglichst auf eine eventuelle Prüfung vorbereitet sein. Auch hier ist ein System wie das Compliance Center hilfreich. Denn der umfassende Aufbau und das systematische Vorgehen sorgen dafür, dass keine relevanten Aspekte der Verordnung übersehen werden und die Erfüllung der damit verbundenen Verpflichtungen ist selbst für kleine und mittlere Organisationen mit beschränkten personellen Ressourcen keine allzu große Herausforderung mehr. ECM-basierende Tools entlasten daher Unternehmen und ebnen den Weg in ein nachhaltiges Datenschutzmanagement. Anwender profitieren somit in zweierlei Hinsicht. Sie erfüllen die Vorschrift der Richtlinie und werden in die Lage versetzt, Datenschutzverletzungen auch zukünftig nach Möglichkeit zu vermeiden.
www.d-velop.de
d.velop stellt digitale Dienste bereit, die Menschen miteinander verbinden sowie Abläufe und Vorgänge umfassend vereinfachen und neugestalten. So hilft der ECM-Spezialist Unternehmen und Organisationen dabei, ihr ganzes Potenzial zu entfalten. Ein starkes, international agierendes Netzwerk aus rund 250 spezialisierten Partnern macht d.velop Enterprise Content Services weltweit verfügbar.
15. und 16. Mai 2019, Berlin
Zwei Tage voller Impulse, Strategien und konkreter Umsetzungsszenarien für alle, die erleben wollen, wie Digitalisierung konkret funktioniert. Zur Anmeldung geht´s hier.
