¶ Grundsätzliche Vorgehensweise bei neuen Projekten
Hier möchten wir kurz umreissen, wie wir ein Datenschutzprojekt mit Hilfe der Software Privacy von Datareporter angehen würden, um die Vorteile und Möglichkeiten der Software bestmöglich zu nützen:
¶ 1. Stammdaten und Organisationsstruktur anlegen
Zunächst muss unter Stammdaten / Organisationen die Organisationsstruktur deines Unternehmens angelegt werden. Die erste Organisation ist dabei dein Hauptunternehmen (Gruppe, etc.).
Danach lege unter Stammdaten / Kontakte die Anwendungsverantwortlichen (Data Owners) in den Fachbereichen an. Das sind jene Personen, die Verantwortlich für mindestens eine Anwendung sind (sowohl für zentrale Anwendungen die in deinem Rechenzentrum gehostet sind, als auch jene Personen, die beispielsweise eine Geburtstagsliste für die Abteilung in Excel führen).
¶ 2. Anwendungen anlegen
Unter Anwendungen verstehen wir alles, wo Daten strukturiert abgelegt wurden. Dies sind meist automatische Systeme (IT-gestützt), aber manchmal auch manuelle Ablagen (z.B. das Ordnerarchiv im Keller).
Um eine Liste der Anwendungen zu erheben, gibt es in Privacy drei Möglichkeiten:
- Manuelle Anlage über „Neue Anwendung“ und Ausfüllen der Datenfelder
- Excel Import der Anwendungsliste in diesem Format
- Anlegen einer Anwendungsanfrage wo die Verantwortlichen selbst ihre Anwendungen rückmelden
¶ 3. Verarbeitungstätigkeiten anlegen
Die Verarbeitungstätigkeiten sind im Wesentlichen eine genaue Beschreibung der gespeicherten, personenbezogenen Daten und deren Quelle, Ziel und Speicherdauer.
Diese Verarbeitungstätigkeiten entsprechen jener Beschreibung, die auch schon aus DVR Online bekannt war. Um Verarbeitungstätigkeiten anzulegen, gibt es mehrere Möglichkeiten:
- Manuelle Anlage und Ausfüllen der Datenfelder
- Kopieren einer bestehenden Verarbeitungstätigkeit
- Erstellen aus einer Vorlage
- Importieren aus dem Onlineverzeichnis das von uns bereitgestellt und gewartet wird
- Importieren aus einer Excel Datei
- Importieren aus einer XML Datei die aus dem bisherigen DVR Online heruntergeladen werden kann
¶ Zuweisen der Verarbeitungstätigkeiten zu Applikationen
Nun kann die Applikationsliste abgarbeitet werden, und jede Applikation (mindestens) einer Verarbeitungstätigkeit zugewiesen werden.
Umgekehrt können auch die Verarbeitungstätigkeiten abgearbeitet werden und die Applikationen ausgewählt werden.
¶ 4. Reporting des Verarbeitungsverzeichnisses
Im Anschluss kann ein Report vom System erstellt werden (Reports / Verzeichnis von Verarbeitungstätigkeiten), der bei einer Prüfung direkt der Datenschutzbehörde vorgelegt werden kann.
¶ Technische und Organisatorische Maßnahmen (TOMs)
Ist das Verarbeitungsverzeichnis fertiggestellt, können die TOMs der Organisation dokumentiert und ins System übernommen werden. Diese werden dann automatisch an das Verarbeitungsverzeichnis angehängt, um sie bei Bedarf der Behörde übergeben zu können.
¶ Arbeitsabläufe
Auf Grundlage der Daten kann auch ein unterstützender Workflow für Beauskunftung, Änderung, Löschung oder Widerruf gemäß DSGVO gestartet und unterstützt werden. Dazu wähle in der Zentrale „Neuer Arbeitsablauf“, um den Assistenten zu starten.
¶ Datenpannen
Im Falle einer Datenpanne kann das System sowohl unterstützend als auch dokumentierend eingesetzt werden. Auch kann hier ein Report generiert werden, der im Falle eines Risikos für die betroffenen Personen direkt an die Datenschutzbehörde gesendet werden kann.