Wer kennt es nicht, riesige Ordnerstrukturen mit unzähligen Text- und Tabellendokumenten. Doch gibt es keinen anderen Weg, als sich in den Festplattentiefen von Unterordner zu Unterordner zu hangeln? Dieser Beitrag widmet sich den Anforderungen, Pflichten und Möglichkeiten einer Datenschutzmanagement Software.
Der Inhalt im Überblick
Warum die DSGVO keinen Spaß macht
Im Nachgang zum Webinar „Aufbau eines DSMS mit Guardileo“ haben wir erfahren, dass es vielen Unternehmen und Datenschutzbeauftragten schwer fällt grundlegende Anforderungen der DSGVO – wie die Dokumentationspflichten – strukturiert und organisiert umzusetzen. Das ist anhand der Fülle an Dokumentationspflichten und zum Teil widersprüchlichen Anforderungen auch kaum verwunderlich. So gab und gibt es beispielsweise Word-Vorlagen zur Dokumentation der Verarbeitungstätigkeiten, die knapp 30 Seiten lang sind.
Das Thema Verzeichnis der Verarbeitungstätigkeiten zeigt, dass Lösungen mittels Word-Vorlagen an vielen Punkten zu wünschen übriglassen. So ist es in größeren Unternehmen oder Konzernen nicht unüblich über 100 Verarbeitungstätigkeiten zu dokumentieren. Das bedeutet 100 Word-Dateien, die in Ordnern und Unterordnern organisiert und vor allem auch gepflegt werden müssen.
Jeder der schon einmal eine Excel-Tabelle mit hunderten Einträgen, Auswahlboxen und Macros geöffnet hat, weiß wie fragil ein solches Dokument ist.
Gleiches gilt für das Vertrags- und Dienstleistungsmanagement, welches in Unternehmen oft ein Sorgenkind ist. Eine übersichtliche Darstellung der Dienstleister inklusive der entsprechenden Verträge ist zwar nicht wörtlich als Pflicht aus der DSGVO herauszulesen, aber wie oft findet man immer wieder Dienstleister, bei denen keine oder veraltete Vereinbarungen zur Auftragsverarbeitung abgeschlossen wurden.
Diese wenigen Beispiele zeigen warum die DSGVO manchmal einfach keinen Spaß macht. Das gilt insbesondere, wenn man gerade ein Dokument nicht findet oder eine Excel-Tabelle mal wieder abgestürzt ist.
Die DSGVO – wie gemacht für Datenschutzmanagement
Jeder der sich mit den Vorgaben der DSGVO beschäftigt weiß, dass man wohl nie zu 100 Prozent „compliant“ sein kann. Der neudeutsche Anglizismus „compliant“ meint übrigens die Erfüllung der gesetzlichen Vorgaben. Es gibt immer etwas zu tun und etwas zu verbessern.
Fakt ist jedoch, dass dies keine Ausrede dafür sein kann Vorgaben der DSGVO nicht oder nur halbherzig umzusetzen. Daher arbeiten sowohl die Aufsichtsbehörden, als auch private Unternehmen, an der Bereitstellung eines Systems zur Erfüllung der verschiedenen Dokumentations- und Rechenschaftspflichten.
Wir selbst beschäftigten uns schon im Jahr 2016 mit Plänen, wie man den Datenschutz besser organisiert. Wichtig zu verstehen ist, dass ein Datenschutzmanagementsystem sehr viel sein kann und nicht immer nur eine neue Ordnerstruktur meint. Vielmehr ist es ein Plan und diesen Plan braucht man, um nicht unter allen Anforderungen unterzugehen.
Denn es gilt das Verzeichnis der Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen, Dokumentenmanagement, Dienstleistermanagement, Interessenabwägungen und vieles mehr in einem Datenschutzmanagementsystem zu dokumentieren. Die Dokumentation sollte zusätzlich bestenfalls so erfolgen, dass eine Aufsichtsbehörde es in komprimierter und strukturierter Form einsehen kann.
Datenschutzmanagement Software
Um all diese Punkte so angenehm wie möglich zu machen, stellen verschiedene Unternehmen sogenannte Datenschutzmanagement Software zur Verfügung. Hierbei handelt sich um Software, die exklusiv dazu entwickelt wurde, den Datenschutz in Unternehmen zu organisieren oder zu managen.
Diese Tools bieten nicht nur einheitliche Strukturen und oftmals eine viel übersichtlichere Organisation der notwendigen Informationen, sondern auch Vorteile wie einen Webzugang, integrierte Berechtigungskonzepte, Exportfunktionen oder allein die Darstellung in verschiedenen Sprachen.
Nachfolgend einige Kriterien, die bei der bei der Beurteilung und Auswahl helfen:
Alles aus einem Guss
Wenn man eine Datenschutzmanagement Software sucht, sollte diese auch all die Punkte und Themengebiete abdeckt, die für den geplanten Einsatz relevant sind. So verhindert man, dass man irgendwann zu viele Systeme im Einsatz hat, die untereinander nicht kompatibel genug sind.
Es gilt daher zukunftsorientiert zu denken und sich für Lösungen zu entscheiden, die die jetzigen und eben auch zukünftige Themengebiete abdeckt.
Initialaufwand
Initialaufwand meint den Aufwand bzw. die Arbeitszeit die benötigt wird, um das Tool auf das Unternehmen anzupassen und einzustellen. Ähnlich wie mit Betriebssystemen gibt es auch bei Datenschutzmanagement Software Lösungen die so individuell eingestellt werden können, wie es nur möglich sein kann – hallo Linux – und Systeme die eher dem Plug-and-Play-Prinzip zuzuordnen sind, die also mit eher weniger Einstellungsmöglichkeiten auskommen.
Beides hat Vor- und Nachteile und es daher wichtig eine bewusste Entscheidung zu treffen.
DSGVO-konform
Da der Bedarf nach Datenschutzmanagement Software groß ist, tummeln sich auf dem Markt nicht nur europäische Anbieter, sondern Anbieter aus aller Welt. Teilweise werden Systeme beworben, die nicht originär als Datenschutzmanagement Software entwickelt wurden oder zumindest nicht im Sinne der DSGVO.
Es gilt daher einen Anbieter zu finden, dessen System zu den Anforderungen der DSGVO passt und der selbst auch den Anforderungen der DSGVO entspricht. Anbieter aus Drittländern sind daher zumindest mit Vorsicht zu genießen. Diese bieten oft keine originäre DSGVO-Software an und verarbeiten die Daten in den jeweiligen Drittländern.
Bedienbarkeit
Die Bedienbarkeit spielt meist eine große Rolle – zumindest in Fällen, bei denen nicht nur der Datenschutzbeauftragte mit der Software arbeiten soll. Gerade in Konzernstrukturen ist es oft so, dass in den einzelnen Gesellschaften Personen die Datenschutzangelegenheiten neben ihren eigentlichen Aufgaben übernehmen. Das macht jedenfalls dann ziemlich wenig Freude, wenn man erstmal eine Woche lang eine Schulung zur Verwendung der Software besuchen muss.
Kosten
Klar die Kosten sind immer ein entscheidender Faktor. Letztlich muss jedes Unternehmen selbst festlegen wie viel ihm eine Datenschutzmanagement Software wert ist. Sollte ein Unternehmen jedoch extreme Schwierigkeiten mit der Organisation der Datenschutzstrukturen haben, so sind sicherlich fast alle Softwareanbieter günstiger als ein Bußgeld der zuständigen Behörde.
Datenschutzmanagement Software, das Ende von Word & Co.?
Zumindest würde es wahrscheinlich jeden freuen nie wieder einen mehrere Gigabyte großen Ordner voll mit Verfahrensverzeichnissen in Word-Dokumenten zu sehen, aber fakt ist das Datenschutzmanagement Software sicher nicht in jedem Unternehmen zum Einsatz kommen kann. Es ist auch nicht notwendig, dass jeder kleine Handwerksbetrieb eine solche Software einsetzt.
Allerdings sollten sich Firmen ab einer gewissen Größe ernsthafte Gedanken machen, ob Word-Dokumente in Ordnerstrukturen wirklich noch eine zeitgemäße Lösung ist.
Achtung Werbung: Sollte jetzt jemand ganz versessen nach einer Datenschutzmanagement Software suchen, auch wir stellen eine Datenschutzmanagement Software namens Guardileo zum Verkauf und für unsere Kunden zur Verfügung. Melden Sie sich gern und wir unterstützen Sie.
Hallo an alle! Gibt es denn schon Erfahrungen mit verschiedenen DSM-Software? Wenn ja, wie heißt die Software und was taugt sie? LG Thomas S.