Datenschutz mit System

Ein wichtiger Bestandteil eines Datenschutz-Management-Prozesses, der mit der Datenschutz-Grundverordnung (DSGVO) konform geht, ist die lückenlose Dokumentation der Verarbeitungstätigkeiten beim Umgang mit personenbezogenen Daten. Dabei stellt sich auch die Frage, ob die Verarbeitungstätigkeit mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden ist.

Das ist zweifellos immer dann der Fall, wenn eine Verarbeitung nach Artikel 4 Nr.2 DSGVO stattfindet - zum Beispiel bei den Mitglieder- oder Versichertenportalen der Unfallversicherungsträger. Lässt sich die Frage jedoch nur mit Unsicherheit beantworten, kann eine Checkliste mit konkreten Fragen zu Sinn und Zweck der Verarbeitungstätigkeit helfen.

Besteht ein hohes Risiko für die Rechte und Freiheiten von Personen, muss zur Dokumentation der Verarbeitungstätigkeit in jedem Fall eine Datenschutzfolgenabschätzung (DSFA) erstellt werden. Diese wiederum setzt voraus, dass man sich mit den konkreten Bedrohungen, Verwundbarkeiten und den daraus resultierenden Risiken der Verarbeitungstätigkeit im Rahmen eines qualitativen Risiko-Managements auseinandergesetzt hat.

Dabei werden die festgestellten Risiken mit einer Matrixfunktion nach Eintrittswahrscheinlichkeit und zu erwartender Schadenshöhe bewertet und den technischen und organisatorischen Maßnahmen gegenübergestellt. Abschließend ist zu bewerten, ob die Risiken hinreichend ausgeschlossen, minimiert oder in seltenen Fällen auch verlagert werden können. Von einer Verlagerung von Risiken spricht man beispielsweise, wenn eine entsprechende IT-Cybersecurity-Versicherung abgeschlossen werden konnte.

Der gesamte Datenschutzmanagement-Prozess erfordert neben der Erstellung notwendiger Dokumente das Zusammenspiel aller für die Verarbeitungstätigkeit verantwortlichen Personen, zum Beispiel:

• fachlich verantwortliche Personen
• IT-Systemtechnik
• IT-Betrieb
• Informationssicherheitsbeauftragte/r
• optional: IT-Anwendungsentwicklung
• Datenschutzbeauftragte/r

Mit dem von der SIGUV entwickelten DMS -­ online erreichbar unter https://dsm.siguv.de - verfolgen wir das Ziel, diesen mehrstufigen und sich wiederholenden Prozess entsprechend zu begleiten. Das Werkzeug basiert auf einem mandantenfähigen Web-Content-Management-System für die kollaborative Zusammenarbeit im Team und besteht aus folgenden wesentlichen Komponenten:

• Artikeltyp für die Registrierung und Beschreibung von Verarbeitungstätigkeiten inkl. Checkliste zur Vorab-Risikobewertung
• Artikeltyp für die Erstellung von Datenschutzfolgenabschätzungen (DSFA)
• Artikeltypen für die Erfassung von technischen und organisatorischen Maßnahmen und die Möglichkeit zur Konfiguration von Maßnahmenkatalogen (z.B. Gebäudesicherheit, Maßnahmen für die IT-Infrastruktur, Applikationssicherheit).
• Artikeltypen und Business-Logik für die Durchführung eines Risiko-Managements
• Artikeltypen für die Erstellung von Schablonen oder Vorlagen für Verarbeitungstätigkeiten oder DSFA’s mit wiederkehrenden Informationen (z.B. sich wiederholende Ansprechpartner)
• Möglichkeit des zentralen Updates von Dokumenten im Falle eines personellen Wechsels in den Verantwortlichkeiten
• Export von Dokumentationen zu Verarbeitungstätigkeiten und DSFA in Word-Vorlagen (offizielle Vorlagen des bayerischen Datenschützers)
• Konfigurierbarer Arbeitsablauf (Workflow) für den gesamten Prozess
• Mandantenfähigkeit

Für die Anwender von dsm.siguv.de wurden Tutorial-Videos produziert, um die Arbeit mit den Werkzeugen des Systems zu unterstützen. Darüber hinaus wurde der Datenschutz-Management-Prozess von SIGUV als solches erläutert.

Nach unseren Erfahrungen kommen viele Anwender jedoch das erste Mal überhaupt mit dem Thema Datenschutz-Management in Berührung - und das meist nebenberuflich als zusätzliche Aufgabe zu den eigentlichen Tätigkeiten. Wir haben uns daher entschlossen, ab Januar 2023 eine Reihe von Workshops anzubieten, in deren Rahmen die ersten Dokumente unter Anleitung und mit fachlicher Unterstützung erarbeitet werden können.

Lars Walther