Projektbericht zu Umsetzung der EU-DSGVO

Toolgestützt oder mit der Hand am Arm?

Aron Mildemann, Datenschutzbeauftragter, Internationales Bankhaus Bodensee AG

 

 

 

 

 

 

Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH

 

 

 

Im Zuge der Umsetzung der Anforderungen aus der EU-DSGVO sowie dem BDSG-neu war die Internationales Bankhaus Bodensee AG (IBB AG) auf der Suche nach einem Tool, um die erforderlichen Dokumentationen revisionssicher, effizient und nachhaltig umzusetzen. Nach Sichtung mehrerer Lösungen fiel die Wahl auf die Software ForumDSM. Nicht zuletzt auch, weil bei der IBB AG bereits andere Tools aus der ForumSuite im Einsatz sind und somit die bereits erfassten datenschutzrelevanten Stammdaten wie Geschäftsprozesse, Datenklassen oder IT-Anwendungen als „Vorlage“ effizient genutzt werden können.

SEMINARTIPPS

Datenschutz Kompakt, 21.11.2019, Frankfurt/M.

Informationssicherheit & Datenschutz – Prozesse effizient gestalten, 05.12.2019, Frankfurt/M.

Datenschutz bei der Verarbeitung/Nutzung von Beschäftigtendaten, 01.04.2020, Berlin.

Informationssicherheit & Datenschutz: Spannungsfeld & Schnittmengen, 02.04.2020, Berlin.

Ausgangssituation

Bis zur Einführung von ForumDSM wurden sämtliche Dokumentationen und Tätigkeiten aus dem alten BDSG mittels Word, Excel sowie anderen „Insellösungen“ umgesetzt. Da die neuen Anforderungen der EU-DSGVO erhöhte Anforderungen an eine aktuelle und vollständige Dokumentation des Datenschutzmanagements stellen, wurde entschieden, künftig Tool-basiert möglichst sämtliche Vorgänge in einer zentralen Lösung zu erfassen.

Projektumsetzung

Die größte Herausforderung im Projekt war sicherlich die Umsetzung der zahlreichen zusätzlichen Dokumentationserfordernisse aus der EU-DSGVO wie z. B. das Verzeichnis der Verarbeitungstätigkeiten, die Datenschutz-Folgenabschätzung, die Risikobewertung sowie die zahlreichen Prüfungshandlungen.

BUCHTIPP

Göhrig/Maull/Petersen (Hrsg.), Managementleitfaden Datenschutz, 2019.

 

Gemeinsam mit den Prozessverantwortlichen wurde das Verzeichnis der Verarbeitungstätigkeiten in der Anwendung ForumDSM angelegt und um die erforderlichen Angaben (Zweckbestimmung, Rechtsgrundlage, Datenkategorien, Datenherkunft, Betroffene, Empfänger, Löschfristen sowie die Risikobewertung) ergänzt.

Des Weiteren wurden die Dienstleister, die eine Auftragsverarbeitung für die IBB AG erbringen, in der Anwendung angelegt und mit Hilfe der in ForumDSM hinterlegten Checkliste eine Vertragsprüfung aller Auftragsverarbeiter durchgeführt.

Diese und viele andere Funktionen (Datenschutzfolgenabschätzung, Schulungskalender, Auditkalender) in der Anwendung werden genutzt, um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachkommen zu können.

Besonders hilfreich bei der Umsetzung waren die in ForumDSM enthaltenen Vorschläge zum Datenschutzmanagement. Nach einer ersten Sichtung und geringfügigen Anpassungen an die Gegebenheiten bei der IBB AG konnten diese weitgehend in den Produktivbereich übernommen werden.

ForumDSM unterstützt zugleich den Datenschutzbeauftragten, um seinen Aufgaben nach Art. 39 EU-DSGVO nachkommen zu können. Anhand der dokumentierten Angaben in ForumDSM, z. B. zum Verzeichnis der Verarbeitungstätigkeiten, können verschiedene Auswertungen erstellt und darauf aufbauend risikoorientierte Prüfungshandlungen abgeleitet werden, wie z. B.:

  • Einhaltung der hinterlegten Löschfristen
  • Überprüfung der Rechtmäßigkeit der Verarbeitung
    • Liegen Einwilligungserklärungen vor?
    • Entsprechen die Einwilligungserklärungen den Bedingungen gem. Art. 7 EU-DSGVO?
    • Dokumentation bei der Verarbeitung zur Wahrung des berechtigten Interesses.
  • Überwachung der Durchführung von Datenschutz-Folgenabschätzungen gem. Art. 35 EU-DSGVO
  • Überprüfung der Auftragsverarbeiter
    • Liegen Verträge vor?
    • Entsprechen die Verträge den Anforderungen gem. Art 28 EU-DSGVO?
    • Überprüfung der erforderlichen Maßnahmen gem. Art. 32 EU-DSGVO beim Auftragsverarbeiter.

Fazit

Die hohen Dokumentationserfordernisse aus der EU-DSGVO konnten mithilfe der Anwendung ForumDSM strukturiert durchgeführt werden. Die Anwendung ForumDSM, unterstützt die IBB AG die Vorgaben der EU-DSGVO revisionssicher, effizient und nachhaltig einzuhalten und gleichzeitig der Rechenschaftspflicht nach Art. 5 Abs. 2 EU-DSGVO nachzukommen.

 

PRAXISTIPPS

  • Versuchen Sie das Verzeichnis der Verarbeitungstätigkeiten möglichst prozessorientiert aufzubauen und mehrere gleichgelagerte Geschäftsprozesse zu einem Verfahren zusammenzufassen.
  • Machen Sie eine Bestandsaufnahme aller Auftragsverarbeiter und überprüfen Sie die Verträge, ob diese den Anforderungen gem. Art. 28 EU-DSGVO genügen.
  • Ein toolbasiertes Datenschutzmanagementsystem kann hilfreich sein, die hohen Dokumentationserfordernisse zentral vorzuhalten.

 

Beitragsnummer: 87176


0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.