Das Verzeichnis der Verarbeitungstätigkeiten ist angelegt und wird durch die Bestandsaufnahme unter Regie des Datenschutzbeauftragten (DSB) Schritt für Schritt vervollständigt – wie Sie bei der Umsetzung vorgehen können, beschreiben wir in Folge 1 dieser Artikel-Serie. Dort haben wir bereits darauf hingewiesen, dass es unerlässlich ist, den Ist-Zustand des Datenschutzes im Unternehmen mit den gesetzlichen Vorschriften abzugleichen. Nach bzw. bereits während der Bestandsaufnahme sollte eine solche Vergleichsanalyse strukturiert erfolgen. Strukturiert heißt: Verarbeitungstätigkeiten müssen kategorisiert werden, um zu identifizieren, welche gesetzlichen Vorschriften für die jeweilige Verarbeitungstätigkeit einschlägig sind. Anschließend müssen die Verarbeitungstätigkeiten mit den entsprechenden Vorschriften abgeglichen werden.
Datenschutz einführen – Schritt für Schritt
(Folge 2: Analysieren)
Schritt 2
Die dokumentierten Verarbeitungstätigkeiten müssen auf Datenschutz-Konformität überprüft werden. otris privacy unterstützt bei der Analyse.
Die Analyse systematisieren
Selbstentwickelte Software-Lösungen stoßen schnell an Grenzen, wenn es darum geht, die Analyse der Verarbeitungstätigkeiten systematisch abzuarbeiten und die Verantwortlichkeiten sowie den aktuellen Arbeitsstand zu dokumentieren. Die Datenschutz-Software otris privacy unterstützt Sie umfassend bei dieser Aufgabe. Die Lösung erleichtert die Analyse aller im Verzeichnis enthaltenen Verarbeitungstätigkeiten, indem ein hinterlegter Prozess die Abarbeitung lenkt: Jede Verarbeitungstätigkeit verknüpfen Sie mit Checklisten. Durch die Fragen der Checklisten prüfen Sie, ob die jeweilige Verarbeitungstätigkeit gesetzeskonform abläuft. otris privacy steuert nicht nur den Prozess und automatisiert die Dokumentation, sondern unterstützt Sie auch inhaltlich: Im System hinterlegt sind rund 1.000 Fragen, unterteilt in 41 Kategorien, aus denen Sie die einzelnen Checklisten zusammenstellen. Falls Sie zusätzliche, unternehmenseigene Vorschriften zur Überprüfung heranziehen möchten (z.B. Codes of Conduct), können Sie unkompliziert eigene Checklisten-Inhalte hinzufügen.
Wie funktioniert der Prozess in der Praxis?
Beispiel: In Art. 5 der EU-DSGVO werden „Grundsätze für die Bearbeitung personenbezogener Daten“ aufgeführt, die „in einer Weise verarbeitet werden [müssen], die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.“ Um zu prüfen, ob eine Verarbeitungstätigkeit diesem Grundsatz entspricht, stellen Sie mit der Datenschutz Software otris privacy die geeigneten Fragen aus dem Gesamtfragenkatalog zusammen, in dem sie thematisch (nach Schutzzielen) untergliedert vorliegen. Um die Vertraulichkeit zu prüfen, wählen Sie beispielsweise unter anderem Fragen, die unter dem Schutzziel Zutrittskontrolle zu finden sind: „Besitzen ausschließlich die berechtigten Personen einen Schlüssel zu den Räumlichkeiten?“ oder „Existiert eine Schlüsselkartei, in der alle Schlüsselinhaber protokolliert sind?“ Die so erstellten Checklisten ordnen Sie den entsprechenden Verarbeitungstätigkeiten zu.
Umsetzung in otris privacy
Eine Verarbeitungstätigkeit mit zugeordneten Checklisten.
Die Verknüpfung aus Verarbeitungstätigkeit und Checkliste weisen Sie dann der für das Verfahren verantwortlichen Fachabteilung/Person zu. Das ist in otris privacy sehr komfortabel möglich, indem Sie die Fragebögen in elektronischer Form ausgeben. Zur Beantwortung der Checklisten-Fragen sind weder Kenntnisse im Datenschutz noch Kenntnisse in der Nutzung von otris privacy notwendig – dem Verantwortlichen wird der zugeordnete Fragebogen im Webbrowser angezeigt. Einmal erstellte Checklisten können Sie wiederverwerten, indem Sie sie weiteren Verarbeitungstätigkeiten zuordnen. Hierdurch vermeiden Sie doppelte Arbeit.
Nachdem der Verantwortliche die Fragen beantwortet hat, müssen Sie das Ergebnis bewerten. Wie Sie eine Bewertung durchführen und wie Sie otris privacy für diesen Prozessschritt einsetzen, beschreiben wir im nächsten Teil (Folge 3) der Artikel-Serie.
