Portfolio
Keine Angst vor der Informationspflicht: ITEBO dataskydd unterstützt Datenschutzmanagement
Informationspflicht in Kommunen, kirchlichen Einrichtungen und Unternehmen
Das sorgt bei datenschutzrechtlich Verantwortlichen auch heute noch für viele Unsicherheiten. Kaum ein Thema sorgt für so viele Nachfragen wie die Erfüllung von Informationspflichten, weiß auch Eric-Josua Themann, Informationssicherheits- und Datenschutzberater bei der ITEBO-Unternehmensgruppe: „Die Erfüllung von Informationspflichten ist ein regelmäßiges Thema bei vielen unserer eDSB-Kunden. Insbesondere bei der Einführung komplexerer Verarbeitungen personenbezogener Daten bestehen teilweise Unsicherheiten zu den Fragen: „Wer muss informiert werden?“, „Wann muss die Information zur Verfügung gestellt werden?“, „Worüber muss konkret informiert werden?“ oder „Auf welche Art und Weise kann die Information erfolgen?“ Bei der Beantwortung dieser Fragen unterstützen wir unsere Kunden gerne mit Rat und Tat.“
Denn in der Praxis sind die Informationspflichten durchaus komplex, zumal zwischen Direkterhebung und Dritterhebung unterschieden werden muss. Bei der Direkterhebung erhalten datenschutzrechtlich Verantwortliche die Daten direkt von der betroffenen Person. Aber auch, wer Daten aus anderen Quellen erhält, hat regelmäßig Informationspflichten zu beachten. Es handelt sich dann um eine sogenannte Dritterhebung.
Personen haben umfangreiche Auskunftsrechte
Menschen, deren Daten verarbeitet werden, haben in der EU nicht nur das Recht darauf, dies zu erfahren. Sie müssen auf Nachfrage zudem im Detail darüber informiert werden, welche Daten wo und wie über sie gespeichert und verarbeitet werden. Aus den Datenschutzgesetzen ergibt sich, dass Kommunen, kirchliche Einrichtungen und Unternehmen zahlreiche Informationen zur Verfügung stellen müssen. Um welche Daten es sich konkret handelt, ist in Teilen Auslegungssache.
Klar ist jedoch, dass Betroffene umfangreich darüber informiert werden müssen, wer die Daten verarbeitet. Darunter fallen Verantwortliche und Datenschutzbeauftragte mit Namen und Kontaktdaten. Auch Teile der Verarbeitung sind offenzulegen. Betroffen sind hier beispielsweise die automatisierte Entscheidungsfindung oder das Profiling, die Kategorie der Daten, ihre Quellen und ihre Empfänger. Personen müssen zudem über Zweck und Rechtsgrundlage der Datenerhebung informiert werden.
Verwaltungen sind besonders in der Pflicht
Für Verwaltungen ist die Lage noch einmal komplizierter. Dies hat diverse Gründe. Einerseits werden relativ viele und zudem sehr sensible Daten erfasst. Des Weiteren erhöht sich durch die zunehmende Digitalisierung der Prozesse die Komplexität der eingesetzten Systeme.
Beispielsweise ist die ITEBO-Unternehmensgruppe wie jeder andere IT-Dienstleister auch ein weiterer Faktor. Denn auch sie speichert Daten und stellt diese der Kommune wieder zur Verfügung. Seien es die Portallösungen wie OpenR@thaus oder andere Fachverfahren, die auf den Cloud-Servern laufen: Auch das müssen Kommunen bei Ihren Informationspflichten beachten.
Das Problem: Eine Datenschutzerklärung für alle Prozesse reicht rechtlich nicht aus. Denn alle Angaben müssen einen eindeutigen Bezug haben und die Prozesse widerspiegeln. Dies bedeutet, dass Datenschutzerklärungen konkret ausformuliert werden müssen. Mithilfe von Textbausteinen lässt sich dieses Problem jedoch relativ leicht lösen.
Layered approach praxistauglicher
Wer Kontakte direkt mit allen verfügbaren Informationen versorgt, erzielt dadurch nicht immer maximale Transparenz. Denn zu umfangreiche Datenschutzerklärungen führen oft dazu, dass Betroffenenrechte darin untergehen. Wer praxisnah informieren möchte, verfährt deswegen häufig nach einem Schichtprinzip. Dabei erhält der Betroffene nicht direkt alle Informationen, sondern wird im ersten Schritt mit den notwendigsten versorgt.
Bezogen auf das Beispiel einer Website wäre die erste Informationsschicht der Cookie-Banner mit dem Hinweis, dass die Website Cookies setzt und diese verwertet. Klicken Userinnen und User auf entsprechende Formulierungen, können Sie genau auswählen, welche Zwecke und welche Unternehmen ihre Daten nutzen dürfen. Sie erhalten auf Nachfrage mehr Transparenz durch die zweite Informationsschicht. Für noch Neugierigere steht die Datenschutzerklärung bereit, in der alle rechtlichen Grundlagen haarklein ausformuliert sind. Wer es genau wissen will, hat außerdem noch die Möglichkeit, bei den Verantwortlichen eine Auskunft über die von ihm gespeicherten Daten zu beantragen.
Ein ähnliches Prinzip ist auch mit Medienbrüchen möglich: Ein Hinweisschild zeigt an, dass der Betroffene gefilmt wird. Per QR-Code kann er sich genauere Informationen zur Datenverarbeitung aus dem Internet ziehen. Informationen im ersten Schritt zurückzuhalten, stärkt die Transparenz also sogar. Man stelle sich vor, jeder Konzertbesucher würde eine Akte mit Dutzenden Seiten Datenschutzerklärung erhalten. Der Nutzen wäre gering und die Rechte würden in juristischen Notwendigkeiten untergehen.
Doch dieses auch als „layered approach“ bezeichnete Prinzip ist nicht in allen Fällen sinnvoll. Die ITEBO-Unternehmensgruppe berät Sie gerne bei der Auswahl der besten Herangehensweise.
Wer muss wann informieren?
Wer personenbezogene Daten erhebt, muss die Betroffenen darüber informieren. Diese Informationspflicht gilt übrigens nicht nur für Bürgerinnen und Bürger oder Kundinnen und Kunden, sondern auch für Angestellte oder Geschäftspartnerinnen und Geschäftspartner. Die einfachste Antwort auf die Frage, wann ein Betroffener informiert werden muss, ist: grundsätzlich immer, wenn personenbezogene Daten erhoben werden und sofort im Moment der Datenerhebung. Es gibt zwar einige Ausnahmen, allerdings sind die durchschnittlichen ITEBO-Kunden davon üblicherweise nicht betroffen. Stammen die Daten von Dritten, müssen Betroffene innerhalb eines Monats informiert werden. Dies gilt allerdings nicht, wenn die betroffene Person bereits informiert worden ist. Dann ist die Informationspflicht bereits erfüllt.
„Bei der ITEBO setzen wir auf dataskydd, um das Datenschutzmanagement einfach und effizient zu organisieren. Die Plattform unterstützt unsere Kundinnen und Kunden bei allen Aufgaben rund um den Datenschutz. Mit der Einführung der neuen Datenschutzmanagementsoftware ITEBO dataskydd möchten wir unseren Kunden eine ganzheitliche Lösung zur Etablierung einer Datenschutzorganisation anbieten. Alle Anforderungen der Datenschutzgesetzgebung könnten somit auf der Plattform abgebildet werden“, ist Informationssicherheits- und Datenschutzberater Alexander Fischer von der IT-Lösung überzeugt.
ITEBO dataskydd für effizienteres und übersichtlicheres Datenschutzmanagement
Wie die meisten IT-Lösungen, die die ITEBO-Unternehmensgruppe anbietet, ist auch dataskydd modular aufgebaut. Eines der wichtigsten Module ermöglicht ITEBO-Kundinnen und -Kunden, Vereinbarungen zur Auftragsverarbeitung (AVV) zu erstellen und zu verwalten. Im gleichen Zuge kann jede AVV mit einem Status versehen und einer Verarbeitungstätigkeit zugeordnet werden. Über die Workflowfunktion können die beteiligten Fachabteilungen an der Erstellung der Vereinbarungen zur Auftragsverarbeitung mitwirken. Teil des Moduls ist auch das Vertragsmanagement, das die Prüfung von AV-Vereinbarungen durch den DSB ermöglicht.
Ein reibungsloser Workflow ist das Kernstück der Software. Sie deckt verschiedene Funktionen und Bedarfe ab: Egal ob es darum geht, dass alle beteiligten Fachabteilungen Aufgaben verwalten, Maßnahmen zur Verhinderung von Verstößen geplant oder Datenschutzverletzungen gemeldet werden müssen: dataskydd ermöglicht eine gezielte Kontrolle, weil es eine praxistaugliche Aufgabenverwaltung und den übersichtlichen Maßnahmenplan nutzt. Möglich wird dies auch durch klare Verantwortlichkeiten: Jede Aufgabe verfügt über Verantwortliche, Zieldatum und Status. Auf diese Weise können alle Beteiligten ihre Aufgaben überblicken und wissen, bis wann diese fällig sind.
Schnelles, transparentes und effizientes Erfüllen von Informationspflichten
Alexander Fischer führt aus:
„Mithilfe von Eingabeformularen sowie vielfältigen Verknüpfungen in der Datenbank lässt sich das VVT (zeit-)effizient erstellen. Aus zahlreichen Projekten bekommen wir diesbezüglich positive Rückmeldungen. Weitere Synergieeffekte können bei der Erstellung von Datenschutzhinweisen erzielt werden: Sobald eine Verarbeitungstätigkeit erfasst ist, lassen sich Datenschutzhinweise im Word-Format automatisiert generieren.“
Dataskydd legt großen Wert auf die Arbeitserleichterung. Deswegen sind viele standardisierte Inhalte bereits vorgegeben. Darunter fallen beispielsweise die Kategorien von personenbezogenen Daten, Kategorien von betroffenen Personen sowie technische und organisatorische Maßnahmen. Individuelle Textbausteine erleichtern und beschleunigen die Arbeit.
VVT mit dataskydd deutlich einfacher und rechtssicher
Eine weitere Spezialität von ITEBO dataskydd ist das Verzeichnis der Verarbeitungstätigkeiten (VVT). Das Führen eines solchen ist für beinahe alle datenschutzrechtlich Verantwortlichen Pflicht. Es handelt sich dabei um eine Auflistung aller Prozesse, in denen personenbezogene Daten verarbeitet werden. Ziel ist es, eine Übersicht über die Datenverarbeitungen zu erlangen.
Um dieses Ziel zu erreichen, müssen alle personenbezogenen Daten ermittelt werden, die Verwaltungen, Kirchen und Unternehmen verarbeiten. Dafür müssen Verantwortliche alle Tools, Software-Produkte sowie Prozesse eruieren. Gerade dann, wenn fortgeschrittene Digitalisierung, viele Tools sowie eine vielseitige Datennutzung zusammenkommen, sind durchaus mehr als 100 Einträge möglich.
Obwohl das VVT auch zu Dokumentationszwecken erstellt wird, hat es einen entscheidenden Vorteil: Datenschutzrechtlich Verantwortliche wissen, wo welche Verarbeitungen dieser Daten erfolgen. Dadurch können sie sowohl den Betroffenen als auch den Aufsichtsbehörden schnell und zeitnah Auskünfte erteilen. Dafür muss das VVT allerdings einen hohen Reifegrad aufweisen können.
Mithilfe eines Leitpfades werden Nutzerinnen und Nutzer bei der Erstellung des VVT begleitet. Das Programm ermöglicht allen verantwortlichen Fachabteilungen, das VVT separat zu bearbeiten und so aktuell zu halten. Eine weitere Stärke des Programms: Durch die Exportfunktion kann die Rechenschaftssowie Informationspflicht jederzeit erfüllt werden. Dies gilt sowohl gegenüber Betroffenen als auch gegenüber den zuständigen Aufsichtsbehörden. Das ist wichtig, denn die Zeit drängt: Beispielsweise haben betroffene Personen ein Auskunftsrecht, das innerhalb von einem Monat erfüllt werden muss.
Datenschutzrechtliche Verantwortliche wie die Samtgemeinde Rethem profitieren von dem Wissen erfahrener Datenschutzbeauftragter, weiß auch Petra Schulze:
„Wir sind froh, dass uns die ITEBO bei der Erstellung des VVT so gut und umfassend unterstützt hat. Ganz allein wäre es schwierig geworden. Auch die technische Umsetzung im Programm Dataskydd ist klar und übersichtlich gestaltet. Wir freuen uns, dass wir diesen Baustein bei der Erfüllung der Vorgaben der DSGVO erfolgreich umsetzen konnten. Es werden bestimmt noch weitere Projekte folgen.“
VVT hilft, Risiken zu steuern und zu kontrollieren
Das VVT dient dabei auch als Grundlage für weitere Funktionen von ITEBO dataskydd. So wird auf dieser Basis auch eine Datenschutz-Folgenabschätzung möglich. Diese ist dann erforderlich, wenn eine Datenverarbeitung sensibler personenbezogener Daten im großen Umfang erfolgen soll oder ein Einsatz von neuen Technologien geplant ist. dataskydd bietet Verantwortlichen eine standardisierte Risikobewertungsmatrix. Je sensibler die Daten, umso höher ist das Risikoniveau. Eine Dokumentation dieser Bewertung ist dann unumgänglich, außerdem dient diese als Grundlage für passende Schutzmaßnahmen.
Und auch bei der Dokumentation der technischen wie auch organisatorischen Maßnahmen unterstützt das Datenschutzmanagement-Tool. Nutzerinnen und Nutzer können Maßnahmenkataloge anlegen, welche daraufhin mit den jeweiligen Verarbeitungstätigkeiten verknüpft werden.
Wenn Datenschutzvorfälle trotzt der Sicherheitsmaßnahmen nicht verhindert werden können, unterstützt ITEBO dataskydd datenschutzrechtlich Verantwortliche, diese zu dokumentieren. Im Modul „Datenschutzund Sicherheitsvorfälle“ werden Verstöße hinsichtlich der gesetzlichen Meldepflicht geprüft und dokumentiert, was eine lückenlose Dokumentation der Ereignisse ermöglicht. Alle notwendigen Daten werden erfasst, sodass der Verantwortliche den Vorfall ggf. direkt an die Aufsichtsbehörde melden kann.
Onlineschulungsplattform
Alle, die sich mit IT-Sicherheit beschäftigen, wissen: Eine Software ist immer nur so gut und sicher, wie Anwenderinnen und Anwender erlauben. Damit Mitarbeitende auf dem aktuellen Stand bleiben, stellt die ITEBO mit der E-LearningPlattform ITEBO Lära unterschiedliche Schulungen zur Verfügung. Die Onlinekurse wie z. B. „Datenschutz in der Kommunalverwaltung“ bieten somit ein ergänzendes Angebot zu den Präsenzschulungen vor Ort. Ein Abschlusstest sichert nicht nur, dass Teilnehmerinnen und Teilnehmer die Lerninhalte verstanden haben. Er dient darüber hinaus der Dokumentation der Schulungsmaßnahme für den Personalbereich.
Container for the dynamic page
(Will be hidden in the published article)