Umsetzung der DSGVO mit Management-System

Bit media hat 20 Aufgaben und Prozesse in der Lösung „PHOENIX Data Protection“ zusammengefasst: Vom Verzeichnis der Verarbeitungstätigkeiten, über IT-Serviceverwaltung bis hin zur Dokumenten- und Vorlagenverwaltung. [...]

Phoenix hilft bei zahlreichen Datenschutz-Prozessen (c) bit media
Phoenix hilft bei zahlreichen Datenschutz-Prozessen (c) bit media

Nur noch wenige Tage bis die DSGVO in Kraft tritt, und das Thema ist allgegenwärtig. In Österreich besteht zwar der Versuch, bestimmte Punkte zu entschärfen, jedoch führt insgesamt kein Weg an einer gesetzeskonformen Umsetzung vorbei. Die wohl größte Änderung ist das Verzeichnis der Verarbeitungstätigkeiten. Jede Organisation welche personenbezogenen Daten regelmäßig verarbeitet, muss ein solches Verzeichnis führen.
Zusätzlich müssen neue Prozesse in den Unternehmen eingeführt werden, da innerhalb von 30 Tagen ein Auskunfts-, Änderungs- oder Löschbegehren von Betroffenen bearbeitet werden muss. Kommt es zu einem Datenschutzvorfall (Data Breach) sind nur 3 Tage Zeit dies der Behörde zu melden und entsprechende Maßnahmen zu setzen. Des Weiteren müssen Informationen der Datenspeicherung öffentlich gemacht werden sowie in vielen Fällen eine Einwilligung der Datenspeicherung eingeholt werden.

Die praktische Umsetzung der DSGVO

Harald Dunst ist Datenschutzbeauftragter und Leiter des Competence Centers „Safety & Security“ bei der bit media e-solutions GmbH
Harald Dunst ist Datenschutzbeauftragter und Leiter des Competence Centers „Safety & Security“ bei der bit media e-solutions GmbH

„Mit einer Datenschutzmanagement-Software lässt sich die DSGVO einfacher und geordnet umsetzen“, meint Harald Dunst, Datenschutzbeauftragter und Leiter des Competence Centers „Safety & Security“ bei bit media e-solutions GmbH. Das Unternehmen bit media hat die Herausforderung nicht nur Daten als Verantwortlicher zu dokumentieren, sondern auch mehrere tausend Verarbeitungen als großer IT-Dienstleister zu protokollieren. Aus diesem Grund wurde gemeinsam mit einer technischen Universität ein System entwickelt, welches alle notwendigen Prozesse und Dokumentationen abdeckt und dabei das eigene Unternehmen, aber auch andere Organisationen unterstützen soll.

Im Fall der bit media wurden zuerst die Aufgaben im Unternehmen identifiziert und im DSMS angelegt. Dies sind lt. Meinung einiger Experten um die 20 Aufgaben bzw. Prozesse, welche jede Organisation beachten muss. Die wichtigsten Prozesse dabei sind folgende:

• Datenschutz in die Organisationsstrukturen einführen (Internes Marketing für Führungskräfte und Mitarbeiter)
• Identifizierung aller Datenverarbeitungen von personenbezogenen Daten (Mitarbeiter, Kunden, Lieferanten, Newsletter-Abonnenten, …)
• Risikoanalysen bei Verwendung von besonderen Datenkategorien und Prüfung der technischen und organisatorischen Maßnahmen aller vorhandenen IT Systeme.
• Prüfung und Überarbeitung aller Verträge und Vorlagen (Dienstverträge, Angebote, Serviceverträge, …)
• Überarbeitung der Web-Auftritte bezüglich Einwilligung und Informationspflichten
• Einführung der Prozesse für Betroffenenanfragen, Einhaltung von Löschfristen und Verhalten bei Datenschutzvorfällen
• Schulung aller Beteiligten über die Grundsätze der DSGVO und die definierten Richtlinien im Unternehmen
• Definition der wiederkehrenden Tätigkeiten

Als Auftragsverarbeiter müssen zusätzliche Schritte eingeleitet werden. Die betreuten Softwarelösungen müssen den Grundsätzen „Privacy by Default“ und „Privacy by Design“ entsprechen und jeder Vertragskunde bekommt gesondert eine Information zur Auftragsverarbeitung.

Phoenix: ein rechtssicheres Verzeichnis der Verarbeitungstätigkeiten, eine IT-Serviceverwaltung inkl. Abbildung von technischen und organisatorischen Maßnahmen, sowie eine Dokumenten- und Vorlagenverwaltung (c) bit media
Phoenix: ein rechtssicheres Verzeichnis der Verarbeitungstätigkeiten, eine IT-Serviceverwaltung inkl. Abbildung von technischen und organisatorischen Maßnahmen, sowie eine Dokumenten- und Vorlagenverwaltung (c) bit media

Optimale Unterstützung durch ein Datenschutz-Managementsystem

Für all diese Tätigkeiten können Organisationen nun ein Datenschutz–Managementsystem einführen. Dies kann entweder in bestehende Managementprozesse integriert, oder als eigenständiges System etabliert werden. In erster Linie sollten Organisationen darauf achten, dass alle datenschutzrelevanten Informationen und Protokolle gesammelt verwaltet werden. Im Falle von Überprüfungen und Anfragen müssen die Verarbeitungen und Prozesse offengelegt werden. Wichtig dabei ist auch, dass im Falle einer Betroffen-Anfrage die Information der Datenspeicherung rasch gefunden und schnell bearbeitet werden können. All diese Informationen können in einem gemeinsamen Speicherordner abgelegt werden, die vorgeschriebenen Verarbeitungen können z.B. als Text oder in Tabellenformat hinterlegt sein.

Am besten jedoch eignen sich spezielle Datenschutz-Softwarelösungen, welche alle Prozesse der Vorbereitung, Umsetzung und wiederkehrenden Tätigkeiten abdecken und natürlich Verarbeitungstätigkeiten genau protokollieren. Auch die Nachvollziehbarkeit sollte bei solch einem System nicht fehlen. Bearbeitete Anfragen von Betroffenen, Datenschutzvorfälle, aber auch Änderungen von Verarbeitungen bzw. deren Verantwortlichen sollten unwiderruflich dokumentiert sein. Solch ein System sollte auch automatisch die verantwortlichen Personen an wiederkehrende Tätigkeiten erinnern, und im Notfall auch eskalieren. Des Weiteren sollte darauf geachtet werden, dass Risikoanalysen wie die Datenschutzfolgenabschätzung sowie Systemdokumentationen mit technischen und organisatorischen Maßnahmen abgedeckt sind. Größere Unternehmen sowie Auftragsverarbeiter sollten speziell darauf achten, dass solch eine Software mehrere „Mandanten“ verwalten kann, um unterschiedliche Strukturen abzubilden.

Lösung für kleine und große Organisationen

Die von bit media entwickelte Lösung „PHOENIX Data Protection“ richtet sich an alle Organisationen, vom Kleinstbetrieb bis zum Großkonzern, und beinhaltet ein rechtssicheres Verzeichnis der Verarbeitungstätigkeiten, eine IT-Serviceverwaltung inkl. Abbildung von technischen und organisatorischen Maßnahmen sowie eine Dokumenten- und Vorlagenverwaltung. „PHOENIX Data Protection“ bietet zusätzlich bereits vorbereitete Verarbeitungen für unterschiedliche Unternehmensbranchen, öffentlichen Institutionen sowie Vereine an. Spezielle Multiverarbeitungen ermöglichen es Auftragsverarbeiter eine einfache, aber lückenlose Dokumentation der Verarbeitungstätigkeiten. „PHOENIX Data Protection“ ist durch das spezielle Mandantensystem sowohl für kleine Organisationen, aber auch für größere Strukturen optimal einsetzbar. Mehr Informationen finden Sie unter www.phoenix-management.net sowie unter der Datenschutz-Themenseite www.better-safe.eu

Werbung

Mehr Artikel

Christian Kranebitter, Geschäftsführer der BE-terna Unternehmensgruppe. (c) BE-Terna
News

BE-terna im „Inner Circle für Microsoft Dynamics 2018/2019“

Jedes Jahr ehrt Microsoft einen ausgewählten Kreis von Microsoft Dynamics Partnern für deren Performance im Zusammenhang mit dem Vertrieb und der Implementierung von Microsoft Dynamics. In den „Inner Circle für Microsoft Dynamics“ werden jährlich die 60 erfolgreichsten Microsoft Partner aufgenommen, die sich durch eine konstant positive Geschäftsentwicklung deutlich von anderen Partnern abheben. […]

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


This site uses Akismet to reduce spam. Learn how your comment data is processed.