Dienstag, 29. Oktober 2019

Projektbericht zu Umsetzung der EU-DSGVO

Toolgestützt oder mit der Hand am Arm?

Aron Mildemann, Datenschutzbeauftragter, Internationales Bankhaus Bodensee AG







Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH




Im Zuge der Umsetzung der Anforderungen aus der EU-DSGVO sowie dem BDSG-neu war die Internationales Bankhaus Bodensee AG (IBB AG) auf der Suche nach einem Tool, um die erforderlichen Dokumentationen revisionssicher, effizient und nachhaltig umzusetzen. Nach Sichtung mehrerer Lösungen fiel die Wahl auf die Software ForumDSM. Nicht zuletzt auch, weil bei der IBB AG bereits andere Tools aus der ForumSuite im Einsatz sind und somit die bereits erfassten datenschutzrelevanten Stammdaten wie Geschäftsprozesse, Datenklassen oder IT-Anwendungen als „Vorlage“ effizient genutzt werden können.

SEMINARTIPPS

Datenschutz Kompakt, 21.11.2019, Frankfurt/M.

Informationssicherheit & Datenschutz – Prozesse effizient gestalten, 05.12.2019, Frankfurt/M.

Datenschutz bei der Verarbeitung/Nutzung von Beschäftigtendaten, 01.04.2020, Berlin.

Informationssicherheit & Datenschutz: Spannungsfeld & Schnittmengen, 02.04.2020, Berlin.

Ausgangssituation

Bis zur Einführung von ForumDSM wurden sämtliche Dokumentationen und Tätigkeiten aus dem alten BDSG mittels Word, Excel sowie anderen „Insellösungen“ umgesetzt. Da die neuen Anforderungen der EU-DSGVO erhöhte Anforderungen an eine aktuelle und vollständige Dokumentation des Datenschutzmanagements stellen, wurde entschieden, künftig Tool-basiert möglichst sämtliche Vorgänge in einer zentralen Lösung zu erfassen.

Projektumsetzung

Die größte Herausforderung im Projekt war sicherlich die Umsetzung der zahlreichen zusätzlichen Dokumentationserfordernisse aus der EU-DSGVO wie z. B. das Verzeichnis der Verarbeitungstätigkeiten, die Datenschutz-Folgenabschätzung, die Risikobewertung sowie die zahlreichen Prüfungshandlungen.

BUCHTIPP

Göhrig/Maull/Petersen (Hrsg.), Managementleitfaden Datenschutz, 2019.


Gemeinsam mit den Prozessverantwortlichen wurde das Verzeichnis der Verarbeitungstätigkeiten in der Anwendung ForumDSM angelegt und um die erforderlichen Angaben (Zweckbestimmung, Rechtsgrundlage, Datenkategorien, Datenherkunft, Betroffene, Empfänger, Löschfristen sowie die Risikobewertung) ergänzt.

Des Weiteren wurden die Dienstleister, die eine Auftragsverarbeitung für die IBB AG erbringen, in der Anwendung angelegt und mit Hilfe der in ForumDSM hinterlegten Checkliste eine Vertragsprüfung aller Auftragsverarbeiter durchgeführt.

Diese und viele andere Funktionen (Datenschutzfolgenabschätzung, Schulungskalender, Auditkalender) in der Anwendung werden genutzt, um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachkommen zu können.

Besonders hilfreich bei der Umsetzung waren die in ForumDSM enthaltenen Vorschläge zum Datenschutzmanagement. Nach einer ersten Sichtung und geringfügigen Anpassungen an die Gegebenheiten bei der IBB AG konnten diese weitgehend in den Produktivbereich übernommen werden.

ForumDSM unterstützt zugleich den Datenschutzbeauftragten, um seinen Aufgaben nach Art. 39 EU-DSGVO nachkommen zu können. Anhand der dokumentierten Angaben in ForumDSM, z. B. zum Verzeichnis der Verarbeitungstätigkeiten, können verschiedene Auswertungen erstellt und darauf aufbauend risikoorientierte Prüfungshandlungen abgeleitet werden, wie z. B.:

  • Einhaltung der hinterlegten Löschfristen
  • Überprüfung der Rechtmäßigkeit der Verarbeitung

    • Liegen Einwilligungserklärungen vor?
    • Entsprechen die Einwilligungserklärungen den Bedingungen gem. Art. 7 EU-DSGVO?
    • Dokumentation bei der Verarbeitung zur Wahrung des berechtigten Interesses.
  • Überwachung der Durchführung von Datenschutz-Folgenabschätzungen gem. Art. 35 EU-DSGVO
  • Überprüfung der Auftragsverarbeiter

    • Liegen Verträge vor?
    • Entsprechen die Verträge den Anforderungen gem. Art 28 EU-DSGVO?
    • Überprüfung der erforderlichen Maßnahmen gem. Art. 32 EU-DSGVO beim Auftragsverarbeiter.

Fazit

Die hohen Dokumentationserfordernisse aus der EU-DSGVO konnten mithilfe der Anwendung ForumDSM strukturiert durchgeführt werden. Die Anwendung ForumDSM, unterstützt die IBB AG die Vorgaben der EU-DSGVO revisionssicher, effizient und nachhaltig einzuhalten und gleichzeitig der Rechenschaftspflicht nach Art. 5 Abs. 2 EU-DSGVO nachzukommen.


PRAXISTIPPS

  • Versuchen Sie das Verzeichnis der Verarbeitungstätigkeiten möglichst prozessorientiert aufzubauen und mehrere gleichgelagerte Geschäftsprozesse zu einem Verfahren zusammenzufassen.
  • Machen Sie eine Bestandsaufnahme aller Auftragsverarbeiter und überprüfen Sie die Verträge, ob diese den Anforderungen gem. Art. 28 EU-DSGVO genügen.
  • Ein toolbasiertes Datenschutzmanagementsystem kann hilfreich sein, die hohen Dokumentationserfordernisse zentral vorzuhalten.


Beitragsnummer: 3450

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
BGH äußert sich zum Anspruch auf „Kopie“ nach Art. 15 Abs. 3 DSGVO

Sofern ein Dokument nicht von der betroffenen Person selbst stammt, besteht nach BGH-Auffassung grundsätzlich keine Verpflichtung zur Herausgabe dessen Kopie.

17.04.2024

Beitragsicon
Risiken unautorisierter Telefonwerbung

Auslegungshinweise § 7a UWG u. Art. 7 DSGVO vs. Praxis, Kontrollen intensivieren, Systeme & Prozesse optimieren, Feststellungen und Bußgelder vermeiden!

17.11.2023

Beitragsicon
Berücksichtigung von Modellrisiken in der Risikotragfähigkeitsanalyse

Prüfungsansätze der Bankenaufsicht zur Beurteilung der Notwendigkeit der Berücksichtigung von Modellrisiken innerhalb der Risikotragfähigkeitsanalyse

16.01.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.