Privacy von Datareporter ist ein intuitives Tool, das dich als Expertin oder Experten dabei unterstützt, all deine Datenschutzagenden bzw. die deines Unternehmens abzuwickeln und zu dokumentieren.
Die Anforderungen an eine Data Protection Software sind höchst unterschiedlich und die Möglichkeiten mit Privacy sind vielfältig. Damit du die Vorteile von Privacy möglichst rasch für dich nutzen kannst, haben wir im Folgenden die ersten und allgemein gültigen Schritte zusammengefasst.
Damit dich Privacy von Beginn an bei all deinen Datenschutzagenden bestmöglich unterstützt, ist es wesentlich, das System mit den entscheidenden Informationen zu befüllen. Im ersten Schritt geht es darum, relevante Daten und Informationen vorzubereiten, damit du sie anschließend einfach und strukturiert in Privacy übertragen kannst.
Das Ziel des strukturierten Starts mit Privacy ist die:
Dafür sind die nach dem Exkurs beschriebenen vorbereitenden Handlungen notwendig.
Exkurs: Kurzeinführung Datenschutz
(um dasselbe Begriffsverständnis bei „personenbezogenen Daten“ zu haben – vgl. auch Artikel 4, DSGVO):Beim Datenschutz geht es um den Schutz von personenbezogenen Daten. Personenbezogene Daten sind dabei sämtliche Informationen die sich auf eine bestimmte oder bestimmbare Person beziehen. Typischerweise sind dies Daten wie Name, Adresse, Geburtsdatum, Geschlecht, Alter, Sozialversicherungsdaten sowie insgesamt alle mit einer Person verbundenen Daten.
ACHTUNG: auch eine IP-Adresse, sowie ein KFZ-Kennzeichen, sowie ein Video oder ein Bild von einer Person ohne der Angabe eines Namens, sind personenbezogene Daten, sofern die jeweilige Person mit rechtlich zulässigen Mitteln identifiziert werden kann!
Besonders beachtenswerte Daten sind die sogenannten sensiblen Daten oder besondere Kategorie von Daten. Es handelt sich dabei ausschließlich um Daten über die rassische oder ethnische Herkunft, die politische Meinung, die religiöse oder weltanschauliche Überzeugung (z.B. Religionsbekenntnis zur Feiertagsverwaltung), genetische oder biometrische Daten (z.B. Fingerprint), Gesundheitsdaten (wie z.B. Krankenstände), die Gewerkschaftszugehörigkeit, sowie Daten über das Sexualleben oder die sexuelle Orientierung.
Relevante Daten sind im Rahmen unserer Tätigkeiten nicht nur Kunden- und Mitarbeiterdaten sondern auch Daten von Patienten, Mitgliedern, Schülern, Gästen, Ansprechpartnern bei Lieferanten oder sonstigen Partnern und Personen deren Daten wir verarbeiten.
Damit Privacy korrekte Ergebnisse und Berichte je Organisation liefert, ist es essentiell, dass deine Organisationsstruktur in Privacy korrekt erfasst ist. Erstelle dazu eine umfassende Liste der Organisationen, die in Privacy abgebildet werden sollen (inkl. juristisch eigenständiger Organisationen, nicht juristischer Einheiten wie Niederlassungen etc.) und deren Hierarchie.
Stelle dir die Frage, ob es ein aktuelles Organigramm gibt, das die Gesamtstruktur widerspiegelt und das hierfür als Quelle herangezogen werden könnte. Erfasse die notwendigen Details wie Anschrift, Kontaktdaten etc. für die jeweilige Organisation. Diese Daten finden dann in den Berichten für die Aufsichtsbehörde Verwendung.
Ermittle zudem für jede Organisation jene Personen, die dort die folgende Rollen bekleiden, und deren E-Mailadresse.
Geschäftsführer:in/Verantwortliche:r ist dabei jene Person oder jene Personen, welche die Organisation nach außen vertreten. Soweit es eine spezielle Bezeichnung für die vertretungsbefugte Person gibt, wie z.B. Vorsitzende:r, Vorstand etc. nutze hierzu die Angaben zur Funktion der jeweiligen Person. Ordne dann die Rolle einer entsprechenden Organisation zu. Mehrfachnennungen sind dabei natürlich möglich und auch zulässig.
Wichtig zu Beginn ist es, sich Gedanken über mögliche Zugangsberechtigungen zum System Privacy zu machen.
Bitte unterscheide hierfür die Zugangsberechtigungen zum Datareporter Lizenzstore, die insbesondere dazu dienen, Lizenzen einzusehen und diese vom Store aus zu öffnen. In Privacy selbst ist es möglich, einen direkten Zugang zur Privacy Lizenz zu gewähren und dafür Berechtigungen im System zu vergeben. Der Einstieg für den jeweilige:n Nutzer:in erfolgt dann nicht über den Lizenzstore sondern über einen direkten Einstiegslink zu Privacy.
Stelle dir auch die Frage welche Personen können essentiell bei der Aufbereitung der Datenschutzdokumentation in der Organisation helfen? Du kannst natürlich Zugangsberechtigungen später immer noch ergänzen und ändern.
Erfasse dafür jene Personen inklusive E-Mailadresse, welche Zugang zu Privacy erhalten sollen.
Praxistipp für die konkrete Umsetzung in Privacy
Sofern diese Person bereits eine Rolle in der Organisation inne hat und bereits als Kontakt im System vorhanden ist, kannst du natürlich diesen Kontakt zur Vergabe von Zugangsberechtigungen nutzen. Lege dafür den jeweiligen Kontakt als Systemnutzer:in an und erteile diesem die entsprechenden Schreib- und Leseberechtigungen. Weitere Systemnutzer:innen oder Änderungen kannst du - wie erwähnt - auch später zu jeder Zeit ergänzen.
Zuerst geht es darum, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und jede Anwendung (siehe Definition unten) einer dafür verantwortlichen Person zuzuordnen. Hierfür dienen als Basis jene Anwendungen (auch manchmal Systeme, Applikationen oder Teilprozesse genannt) in einer Organisation mit denen personenbezogene Daten verarbeitet werden. Erfasse als Vorbereitung alle relevanten Anwendungen und die dafür verantwortlichen Personen (z.B. Emilia Einkauf, verantwortlich für SAP).
Die Praxis hat gezeigt, dass es sich empfiehlt, hier (zu Beginn) auf die wirklich wichtigen Anwendungen zu fokussieren und nach Prioritäten zu handeln. Vorrang bei einer derart risikoorientierten Vorgehensweise haben Anwendungen, die für die Erfüllung von Betroffenenprozessen (Auskunft) besonders relevant sind oder die kritische Verarbeitungsschritte (z.B. Übermittlung in ein Drittland) bzw. sensible Daten beinhalten. Wer von Anfang an jeden kleinen Stein umdreht, riskiert das große Ganze aus den Augen zu verlieren. Nachträgliche Ergänzungen und vertiefende Betrachtung einzelner Aspekte sind in Privacy einfach umzusetzen.
Definition Anwendung
Eine Anwendung liegt vor, wenn zur Erreichung eines inhaltlich bestimmten Zweckes personenbezogene Daten zur Gänze oder auch nur teilweise automationsunterstützt verarbeitet werden. Es ist dabei unerheblich ob dies durch eine eigene IT-Software oder mit Hilfe eines vorhandenen Hilfstool (wie z.B. Excel, Word, Access → z.B. Verarbeitung von Mitarbeiterdaten in Excel, Veranstaltungslisten in Word) vorgenommen wird. Auch die manuelle Verarbeitung von Daten gilt als Anwendung, sofern es sich um eine strukturierte Sammlung von Daten handelt, die nach mindestens einem Suchkriterium zugänglich und organisiert ist (z.B. der Personalakt in strukturierten Ordnern im Archiv).
Fazit
Derartige relevante Anwendungen gilt es zu ermitteln (hier geht es vor allem um deine konkret eingesetzten Systeme – also jene Orte, an denen personenbezogene Daten bei dir in der Organisation liegen. Deine Aufgabe ist es dann in einem weiteren Schritt, solche Anwendungen nach Zwecken zu gruppieren und Verarbeitungstätigkeiten zuzuordnen, die dann inhaltlich mit Hilfe der Privacy Musterbibliothek oder anhand selbst erstellter Verarbeitungstätigkeiten elektronisch dokumentiert werden. Dafür kannst du auf in Privacy vordefinierte typische Muster-Verarbeitungstätigkeiten zurückgreifen.
Bei der Erfassung relevanter Anwendungen solltest du jedenfalls an folgende Bereiche innerhalb Deiner Organisation denken:
Zur strukturierten Aufarbeitung der Anwendungen empfiehlt es sich, eine Liste mit allen relevante Anwendungen und der jeweils dafür verantwortlichen Person zu erstellen.
Vergleichswert: Bei Organisationen mittlerer Größe wurden bisher meist um die 50-100 Anwendungen im System definiert.
Jede:r Verantwortliche hat darzustellen, welche technischen und organisatorischen Maßnahmen er setzt, um personenbezogene Daten zu schützen. Dies ist in einem eigenen Bericht detailliert und strukturiert zu dokumentieren.
In Privacy von DataReporter findest du eine Bibliothek mit mehr als 150 Vorlagen für relevante TOMs, die du einfach durchgehen und an deine Anforderungen anpassen kannst. Damit kommst du rasch zu einem fundierten Ergebnis.
Gleichzeitig musst du dir natürlich die Frage stellen, ob die gesetzten Maßnahmen ausreichen und ob es da und dort noch offene Maßnahmen gibt. Die vordefinierten Detailbeschreibungen für die einzelnen Maßnahmen in der Bibliothek sollten einfach auf die tatsächlichen Gegebenheiten der Organisation angepasst werden können.
Typische TOMs sind z.B.:
Fazit
Am Ende des Tages benötigst du hier die Maßnahmen die in deiner Organisation gesetzt werden inkl. ein paar aussagekräftiger Zeilen, wie eine Maßnahme konkret in deiner Organisation umgesetzt wurde.
Die Zuordnung einer Maßnahme zu einer Organisation oder einer bestimmten Verarbeitungstätigkeit, wie auch sogar einer speziellen Technologie oder eines Speicherortes, können ebenso vorgenommen werden.
Im ersten Schritt genügt es aber folgende Maßnahmen darzustellen:
Als letzte Vorbereitung für die komplette Befüllung der Data Protection Software Privacy benötigst du eine Liste der Dienstleister im Datenschutz, den sogenannten Auftragsverarbeitern. Die Dienstleister ergeben sich relativ einfach aus den Überlegungen zu den relevanten Anwendungen unter Punkt 1.
Praxisbeispiel
Z.B. ein Newslettertool läuft servertechnisch bei einem Dienstleister. Da dort zumindest E-Mail Adressen von Kunden, Gästen bzw. Interessenten verwaltet werden, handelt es sich bei diesem Anbieter um einen Auftragsverarbeiter. Z.B. auch Google ist ein Auftragsverarbeiter, soweit Du über die Website diverse Google Services wie Google Analytics nutzt und dadurch Daten von Besuchern Deiner Website verarbeitest.
Typische Auftragsverarbeiter sind z.B.:
Stelle dir die Frage: "Gibt es bereits eine Liste von Auftragsverarbeitern und/oder unterschriebene AV Verträgen, die du bereits im System hinterlegen könntest?”
Tipp
Erstelle über die Funktion “Reports” regelmäßig Berichte, um die Fortschritte der Dokumentation von Verarbeitungsverzeichnis und der technischen und organisatorischen Maßnahmen zu prüfen.
Zusammenfassung der notwendigen Vorbereitungshandlungen:
Im folgenden Ordner liegen alle Importdateien im richtigen Format für Sie zum Download bereit:
Importdateien downloaden