Vielleicht ist Ihnen die folgende Situation bekannt: Sie sind von Ihrem Unternehmen kürzlich zum betrieblichen Datenschützer bestellt worden. Daraufhin haben Sie an einer mehrtägigen Schulung in einem externen Schulungscenter teilgenommen, in der man Ihnen die Grundlagen für die Tätigkeit als Datenschutzbeauftragter genauer erläutert hat. Ziemlich sicher hat man Ihnen hier auch dargelegt mit welchen Aufgaben Sie beginnen sollten, sobald Sie von der Schulung zurück sind. Und da haben sich sicherlich die folgenden Punkte ganz oben auf Ihrer To-Do-Liste gefunden: das Verzeichnis von Verarbeitungstätigkeiten sowie die technischen und organisatorischen Maßnahmen, die von einem Datenschützer erfasst und bewertet werden müssen.
So weit so gut und zu diesen Schlagwörtern existiert ja auch wirklich viel an Literatur. Aber zurück im Unternehmen sehen Sie sich nun mit der folgenden Herausforderung konfrontiert: Theorie schön und gut, aber wie lege ich los? Was mache ich jetzt? Wie und wo komme ich an die Informationen, die ich für meine weitere Arbeit benötige?
Verzeichnis von Verarbeitungstätigkeiten: Wie komme ich an alle notwendigen Informationen?
Um den Datenschutz in einem Unternehmen überhaupt gewährleisten zu können, ist für einen Datenschutzbeauftragten das Verzeichnis von Verarbeitungstätigkeiten (VVT) elementar wichtig. Es ist sozusagen sein Handbuch, überspitzt gesagt seine „Bibel“. Jede Verarbeitung, in der personenbezogene Daten involviert sind bzw. verarbeitet werden, muss von einem Datenschützer dokumentiert und bewertet werden. Aber wie geht man dabei vor, um dieses zentrale Verzeichnis zu erstellen? Wie kommt man zu diesem Verzeichnis?
In Ihrer Schulung haben Sie vielleicht gelernt, dass es dazu entsprechende Vorlagen gibt, die man an die jeweiligen Fachbereiche weitergeben soll. Der Verantwortliche der entsprechenden Fachabteilung soll dann genau angeben, wo überall personenbezogene Daten auftreten. Aber woher weiß der Ärmste, was er alles eintragen soll und was Sie alles benötigen? Natürlich kann der Spieß auch umgedreht werden, in dem man das Ganze in Form eines Interviews mit den jeweils Verantwortlichen führt: Wo haben wir personenbezogene Daten im Unternehmen? Wo sind sie gespeichert? Wo werden sie verarbeitet? Wo werden Daten erhoben? Das große Problem dabei: Sie bekommen so sicherlich einiges an Informationen zusammen. Aber woher wissen Sie, ob diese vollständig sind? Nehmen wir als Beispiel eine IT-Abteilung: Diese weiß wahrscheinlich auch nicht von allen Verfahren oder Verarbeitungen, die es in einem Unternehmen gibt. In Personalprozessen ist die IT z. B. häufig eher außen vor. Sie stellt die Hardware zur Verfügung etc., aber mit der Verarbeitung an sich hat die IT nichts mehr zu tun. Trotzdem muss aber alles im Verarbeitungsverzeichnis aufgeführt werden. Wie können Sie also sicher sein, dass Sie wirklich über alle notwendigen Informationen verfügen? Gibt es hierfür vielleicht ein externes Tool, das Sie bei Ihren Tätigkeiten unterstützen kann?
Reduzieren Sie Ihren Aufwand durch Softwareunterstützung
Ja, das gibt es. Hierfür können wir Ihnen unsere Softwarelösung Docusnap nur ans Herz legen. Gerade für den Einstieg, hilft Ihnen Docusnap sehr viel weiter, da Ihnen die Software vorab schon automatisiert eine gute Datenbasis für Ihre weitere Arbeit liefert.
Möglichkeiten mit Docusnap:
– Erfassung der gesamten IT-Infrastruktur
– Vorgefertigte Standard-Reports
– Erfassung der Softwarelizenzen
– Erfassung der Berechtigungen auf Ordner- und Postfachebene
– Konzepte (VVT)
Docusnap bildet die komplette Infrastruktur Ihrer Unternehmens-IT ab. Sie bekommen entsprechende Übersichten, wie zum Beispiel über Hardwarekomponenten, Softwarelizenzen oder die einzelnen Versionsstände. Zudem haben Sie die Möglichkeit, sich die jeweiligen Berechtigungen auf Ordner- und Postfachebene anzeigen zu lassen. Muss beispielsweise gewährleistet werden, dass nicht jeder X-beliebige Mitarbeiter Zugriff auf die E-Mail-Adresse personal@… hat? Kein Problem, da Sie mit Docusnap genau nachvollziehen können, wer auf dieses Postfach Zugriff hat. Und das ganz ohne Aufwand. Docusnap hilft Ihnen aber auch im Bereich der Risikoeinschätzung. Wo können personenbezogene Daten abhandenkommen? Sei es durch falsche Firewall Einstellungen oder Backups, die geprüft werden müssen, ob sie auch dementsprechend laufen. Ist generell eine Sicherung vorhanden? All diese Fragen können Sie mit Docusnap mühelos klären. Dabei sollten Sie Docusnap generell als unterstützendes Werkzeug verstehen, das Ihnen verschiedenste Möglichkeiten bietet. Sei es, dass Sie herausfinden können welches System personenbezogene Daten verarbeitet oder dass Sie sicherstellen können, dass diese Daten auch geschützt werden.
Inventarisierung mit Docusnap als Grundlage für Tätigkeiten als Datenschutzbeauftragter
Grundlage ist in Docusnap immer die Inventarisierung. Bestenfalls wurde diese von der IT-Abteilung schon vorab ausgeführt, so dass Sie von der IT alle Daten zu den relevanten Systemen zugespielt bekommen. Oder Sie ziehen sich die Informationen einfach selbst in Docusnap. So verfügen Sie nun beispielsweise über eine Inventarisierungsliste im Bereich der Server. Anhand dieser Liste haben Sie nun schon einmal einen Überblick über die Serversysteme generell. Die Servernamen an sich bieten Ihnen hierbei oftmals schon Aufschluss darüber, was darauf installiert ist. Oder Sie schauen sich in einem weiteren Schritt direkt die Server-Rollen an. Hier können Sie dann wirklich exakt die installierten Dienste nachvollziehen (Diese haben dann Rollen wie „Microsoft Exchange Server“ oder „Microsoft DNS Server“). Wo oder wie würden Sie diese Informationen sonst herbekommen? Ja – Sie könnten diesbezüglich den IT-Leiter fragen. Aber auch hier stellt sich wieder das Problem: Denkt der IT-Leiter, der oftmals sowieso im Alltagsstress erstickt, dann wirklich an alles? Oder hält er sich mit gewissen Informationen ja vielleicht sogar absichtlich bedeckt, weil er im Grunde ganz froh wäre, wenn sich der Datenschutzbeauftragte manches gar nicht detaillierter ansehen würde? Sie sehen, auch auf diese Weise können Sie sich wieder nicht sicher sein. Mit Docusnap kommen Sie also an Daten, die Sie auf anderem Wege gar nicht rausbekommen würden. Oder nehmen wir beispielsweise einen Domaincontroller. Die IT-Abteilung würde Sie als „normalen Anwender“ niemals auf den Domaincontroller lassen. In der Tat haben Sie darauf auch wirklich nichts zu suchen. Aber dann sieht es natürlich mit Informationen und Daten auch wieder eher schlecht aus! Und auch hier kann Ihnen Docusnap helfen, da Sie nun genau feststellen können welche Systeme es überhaupt gibt, wie diese heißen und was an Software darauf installiert ist.
Sie sehen, allein die Inventarisierung von Docusnap und die Inventarlisten sind für Ihre weitere Arbeit eine unheimlich große Stütze. Natürlich bekommen Sie so keine vollständige, endgültige Liste der Verarbeitungen heraus. Aber Sie bekommen ein erstes Gefühl, welche Verarbeitungen im Unternehmen denn überhaupt laufen. Dabei können Sie über IT-Systeme rangehen, denn wo in einem Unternehmen haben wir heute noch Prozesse, die nicht von der IT gestützt sind?! Inzwischen gibt es für alles eine Software, einen Server, einen Client etc., worüber die verschiedenen Prozesse laufen. Die Inventarlisten stellen zudem ein gutes Werkzeug dar, um sich schon vorab für die Interviews mit den jeweiligen Fachbereichen vorzubereiten. Denn wenn ich schon einmal weiß was vorhanden ist, kann ich meine weiteren Fragen auch zielgerichteter stellen. Sehen Sie es also auch als eine Art „Background“ um leichter ins Gespräch einzusteigen.
Apropos: Die IT-Abteilung kann Ihnen als Datenschutzbeauftragten in Docusnap „nur“ lesenden Zugriff auf alle Informationen zuteilen. So muss sich die IT auch keine Sorgen darüber machen, dass Sie aktiv in Docusnap eingreifen. Lassen Sie sich also bei Ihrer Arbeit von Docusnap unterstützen! So sparen Sie enorm viel an Arbeitsaufwand und Nerven ein!
In unserem nächsten Blogartikel erfahren Sie, wie Sie Docusnap bei den technischen und organisatorischen Maßnahmen unterstützen kann.