Donnerstag, 31. Oktober 2019

Projektbericht zu Umsetzung der EU-DSGVO

Toolgestützt oder mit der Hand am Arm?

Aron Mildemann, Datenschutzbeauftragter, Internationales Bankhaus Bodensee AG







Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH




Im Zuge der Umsetzung der Anforderungen aus der EU-DSGVO sowie dem BDSG-neu war die Internationales Bankhaus Bodensee AG (IBB AG) auf der Suche nach einem Tool, um die erforderlichen Dokumentationen revisionssicher, effizient und nachhaltig umzusetzen. Nach Sichtung mehrerer Lösungen fiel die Wahl auf die Software ForumDSM. Nicht zuletzt auch, weil bei der IBB AG bereits andere Tools aus der ForumSuite im Einsatz sind und somit die bereits erfassten datenschutzrelevanten Stammdaten wie Geschäftsprozesse, Datenklassen oder IT-Anwendungen als „Vorlage“ effizient genutzt werden können.

SEMINARTIPPS

Datenschutz Kompakt, 21.11.2019, Frankfurt/M.

Informationssicherheit & Datenschutz – Prozesse effizient gestalten, 05.12.2019, Frankfurt/M.

Datenschutz bei der Verarbeitung/Nutzung von Beschäftigtendaten, 01.04.2020, Berlin.

Informationssicherheit & Datenschutz: Spannungsfeld & Schnittmengen, 02.04.2020, Berlin.

Ausgangssituation

Bis zur Einführung von ForumDSM wurden sämtliche Dokumentationen und Tätigkeiten aus dem alten BDSG mittels Word, Excel sowie anderen „Insellösungen“ umgesetzt. Da die neuen Anforderungen der EU-DSGVO erhöhte Anforderungen an eine aktuelle und vollständige Dokumentation des Datenschutzmanagements stellen, wurde entschieden, künftig Tool-basiert möglichst sämtliche Vorgänge in einer zentralen Lösung zu erfassen.

Projektumsetzung

Die größte Herausforderung im Projekt war sicherlich die Umsetzung der zahlreichen zusätzlichen Dokumentationserfordernisse aus der EU-DSGVO wie z. B. das Verzeichnis der Verarbeitungstätigkeiten, die Datenschutz-Folgenabschätzung, die Risikobewertung sowie die zahlreichen Prüfungshandlungen.

BUCHTIPP

Göhrig/Maull/Petersen (Hrsg.), Managementleitfaden Datenschutz, 2019.


Gemeinsam mit den Prozessverantwortlichen wurde das Verzeichnis der Verarbeitungstätigkeiten in der Anwendung ForumDSM angelegt und um die erforderlichen Angaben (Zweckbestimmung, Rechtsgrundlage, Datenkategorien, Datenherkunft, Betroffene, Empfänger, Löschfristen sowie die Risikobewertung) ergänzt.

Des Weiteren wurden die Dienstleister, die eine Auftragsverarbeitung für die IBB AG erbringen, in der Anwendung angelegt und mit Hilfe der in ForumDSM hinterlegten Checkliste eine Vertragsprüfung aller Auftragsverarbeiter durchgeführt.

Diese und viele andere Funktionen (Datenschutzfolgenabschätzung, Schulungskalender, Auditkalender) in der Anwendung werden genutzt, um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachkommen zu können.

Besonders hilfreich bei der Umsetzung waren die in ForumDSM enthaltenen Vorschläge zum Datenschutzmanagement. Nach einer ersten Sichtung und geringfügigen Anpassungen an die Gegebenheiten bei der IBB AG konnten diese weitgehend in den Produktivbereich übernommen werden.

ForumDSM unterstützt zugleich den Datenschutzbeauftragten, um seinen Aufgaben nach Art. 39 EU-DSGVO nachkommen zu können. Anhand der dokumentierten Angaben in ForumDSM, z. B. zum Verzeichnis der Verarbeitungstätigkeiten, können verschiedene Auswertungen erstellt und darauf aufbauend risikoorientierte Prüfungshandlungen abgeleitet werden, wie z. B.:

  • Einhaltung der hinterlegten Löschfristen
  • Überprüfung der Rechtmäßigkeit der Verarbeitung

    • Liegen Einwilligungserklärungen vor?
    • Entsprechen die Einwilligungserklärungen den Bedingungen gem. Art. 7 EU-DSGVO?
    • Dokumentation bei der Verarbeitung zur Wahrung des berechtigten Interesses.
  • Überwachung der Durchführung von Datenschutz-Folgenabschätzungen gem. Art. 35 EU-DSGVO
  • Überprüfung der Auftragsverarbeiter

    • Liegen Verträge vor?
    • Entsprechen die Verträge den Anforderungen gem. Art 28 EU-DSGVO?
    • Überprüfung der erforderlichen Maßnahmen gem. Art. 32 EU-DSGVO beim Auftragsverarbeiter.

Fazit

Die hohen Dokumentationserfordernisse aus der EU-DSGVO konnten mithilfe der Anwendung ForumDSM strukturiert durchgeführt werden. Die Anwendung ForumDSM, unterstützt die IBB AG die Vorgaben der EU-DSGVO revisionssicher, effizient und nachhaltig einzuhalten und gleichzeitig der Rechenschaftspflicht nach Art. 5 Abs. 2 EU-DSGVO nachzukommen.


PRAXISTIPPS

  • Versuchen Sie das Verzeichnis der Verarbeitungstätigkeiten möglichst prozessorientiert aufzubauen und mehrere gleichgelagerte Geschäftsprozesse zu einem Verfahren zusammenzufassen.
  • Machen Sie eine Bestandsaufnahme aller Auftragsverarbeiter und überprüfen Sie die Verträge, ob diese den Anforderungen gem. Art. 28 EU-DSGVO genügen.
  • Ein toolbasiertes Datenschutzmanagementsystem kann hilfreich sein, die hohen Dokumentationserfordernisse zentral vorzuhalten.


Beitragsnummer: 3450

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Künstliche Intelligenz & die Vorgaben der Datenschutz-Grundverordnung

Das Datenschutzrecht muss durch Gerichte, Behörden & ggf. EU-Gesetzgeber bzgl. der KI-Technologie mangels aktueller konkreter Vorgaben fortentwickelt werden.

21.06.2024

Beitragsicon
Anwendbarkeit einer CRR-Legal Opinion für deutsche Kreditsicherheiten

Voraussetzungen für die Anwendbarkeit einer CRR-Legal Opinion für deutsche Kreditsicherheiten und Besonderheiten einiger ausgewählter Kreditsicherheiten

05.06.2024

Beitragsicon
Datenschutzprüfungen effizient vorbereiten

Bestellungspflicht von Datenschutzbeauftragten, Künstliche Intelligenz und zunehmende Prüfungen der Umsetzung datenschutzrechtlicher Anforderungen.

08.04.2024

Beitragsicon
Berücksichtigung von Modellrisiken in der Risikotragfähigkeitsanalyse

Prüfungsansätze der Bankenaufsicht zur Beurteilung der Notwendigkeit der Berücksichtigung von Modellrisiken innerhalb der Risikotragfähigkeitsanalyse

16.01.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.