Freitag, 25. Februar 2011

Der Datenschutzbeauftragte und seine Software

Der Datenschutzbeauftragte sucht seine Software nach Funktionalität und Zukunftstauglichkeit aus

Wird man zum Datenschutzbeauftragten (DSB) ernannt, stellt sich sehr schnell die Frage: welche Software brauche ich, um mein Arbeitsgebiet effizient abzudecken!
Es ist wahrscheinlich, dass der junge Datenschutzbeauftragte sein Arbeitsgebiet, das BDSG oder "sein" Landesdatenschutzgesetz (LDSG) in der Regel noch nicht voll überblickt.
Schaut man in BDSG oder LDSG, steht da lediglich, dass ein Datenschutz Verfahrensverzeichnis aufzubauen ist und mit zehn bis 30 Angaben pro Datenschutz Verfahren gefüllt und verwaltet werden soll. Diese marginalen Hinweise in BDSG oder LDSG sind leider das Problem: all die notwendigen Dokumentationsanforderungen findet der Datenschutzbeauftragte nämlich nicht direkt im BDSG oder im LDSG, sondern in Prüfvorschriften der Aufsichtsbehörden - die auch noch von Bundesland zu Bundesland unterschiedlich sind. Es wird erwartet, dass der Datenschutzbeauftragte nicht nur seine Verfahren präsentieren kann, sondern auch den dazugehörigen Datenschutz Prozess, in dem die eingesetzte Hardware, die eingesetzte Anwendungssoftware und die zugriffsberechtigten Personen aufgezeigt werden können. Nur dann, wenn der DSB den Datenschutz Prozess kennt, kann er das eingesetzte Verfahren auf Ordnungsmäßigkeit hin beurteilen. Die in der IT-Abteilung geführten Hard- und Software-Übersichten sind nicht wirklich hilfreich, denn die Verbindung zwischen Hardware > verwendete Software > Datenschutz-Verfahren > Zugriffsberechtigten fehlen dort in aller Regel. Der Datenschutzbeauftragte wird beim Auswählen seiner Software auf diese Darstellungsmöglichkeiten achten. Schön ist es natürlich, wenn solch ein Prozess als übersichtliche Baumstruktur abgebildet werden und jedes dieser Objekte im Baum mit den notwendigen "Datenschutzangaben" versehen werden kann.
Die zugriffsberechtigten Personen - und ihre detaillierten Zugriffsrechte - sind immer (wenn nicht gar der wesentliche) Prüfungsgegenstand der Aufsichtsbehörden - wer hier nicht zeigen kann, dass dieser Aspekt Teil seiner Überprüfungen ist, ist im Nachteil. Wie will er jetzt aufzeigen, dass er den Zugriff geprüft, die Person unterwiesen oder geschult hat? Wir hören oft: die Liste führt die Personalabteilung! Praxiskenner wissen allerdings, dass diese Listen entweder nie geführt werden oder veraltet oder unvollständig und deshalb unbrauchbar sind. Auch auf diesen Punkt achtet der Datenschutzbeauftragte, wenn er nach einer geeigneten Software sucht.
Kommen wir jetzt zum wichtigsten Punkt der Verfahrensdokumentation: dem Datenfluss - wer bekommt welche Daten aus der Datengesamtheit (Empänger) und woher kamen die Daten (Daten erhoben bei). Wer diesen Sachverhalt als DSB nicht aufzeigen kann, wird die Sensibilität eines Datenschutz-Verfahrens nicht korrekt einstufen können. Eine gute Datenschutzsoftware wird allerdings diesen Punkt abdecken.
Datenschutzdokumentationen brauchen in der Regel eine längere Zeit, bis sie ordnungsgemäß (sprich vollständig) aufgebaut sind. Die Fachabteilung liefert angeforderte Informationen eher schleppend als zügig; mehrfaches Nachfordern ist normal. Wir meinen, dass die Zeit, die der Datenschutzbeauftragte für die Terminverfolgung aufwendet, mit sachbezogener Arbeit besser genutzt werden könnte. Das "Nachhaken" verbraucht einen wesentlichen Teil der zur Verfügung stehenden Zeit des DSB. Eine gute Software zur Datenschutzbearbeitung übernimmt das Zeitmanagement für den Datenschutzbeauftragten durch automatische Ordnungsmäßigkeitsprüfung (sind die festgelegten Angaben erfasst?), automatische Aktualisierungsprüfung (ist die Dokumentation des Verfahrens noch aktuell?) und durch Wiedervorlage des Vorgangs zu einem bestimmten Termin mit automatischer Hinweismeldung auch wenn die Software nicht gestartet ist.
Die technisch und organisatorischen Maßnahmen (TOMs), die der DSB empfehlen soll, erweitern das Arbeitsgebiet des Datenschutzbeauftragten nicht unerheblich. Auch diese Tätigkeit gehört zu den zeitintensiven Pflichten des Datenschutzbeauftragten. Maßnahmen auszudenken und zu formulieren stellt hohe Anforderungen an den DSB. Nicht nur, dass das Finden oder das Formulieren der Datenschutz-Maßnahmen unerhört lange dauert und die Arbeitszeit belastet - nein, der Datenschutzbeauftragte muss sich auch sicher sein, dass er nichts Wesentliches übersehen hat. Warum sollte man das Rad neu erfinden? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt dem Datenschutzbeauftragten mehr als 1200 Maßnahmen bereit, von denen mindestens 700 speziell zur Datenschutzbearbeitung, verwendbar sind. Jetzt stellt sich nur noch die Frage, welche der 700 Maßnahmen müssen Verfahren A und welche der 700 Maßnahmen müssen Verfahren B zugeordnet werden? Ein gutes Datenschutz-Tool lässt den DSB hier nicht im Stich, übernimmt diese Aufgabe eventuell sogar automatisch. Jetzt sind wir an der Schnittstelle von Datenschutz- und Informationssicherheits-Bearbeitung. Beides ist eigentlich nicht trennbar. Datenschutzbearbeitung ohne Berücksichtigung der Informationssicherheit (früher IT-Sicherheit genannt) ist in unseren Augen kein wirklich gutes Datenschutz-Management. Auch hier wieder der Rat an den Datenschutzbeauftragten: suchen Sie sich eine Software aus, die diese Schnittstelle bedienen - oder zumindest später um diese Funktionalität erweitert werden kann. Abschließend zu diesem Punkt noch der Hinweis, dass in allen Landesdatenschutzgesetzen ausdrücklich BSI-Grundschutz-konforme Datenschutz-Vorgehensweisen gefordert werden - oft der Nachweis eines IT-Sicherheits-Konzeptes.
Im Laufe seiner Tätigkeiten wird der Datenschutzbeauftragte immer wieder auf wesentliche Informationen stoßen, die seine Datenschutzbearbeitung beeinflussen kann. Als Beispiel sei hier die video-basierende oder sonstige optisch/elektronische Datenerhebung genannt. Wer hätte vor einigen Jahren voraussehen können, dass solche Dinge einmal datenschutzrelevant würden oder dass die Gesetze geändert werden und die Dokumentations-Anforderungen erweitern? Der DSB achtet deshalb darauf, dass die Software solche "Erweiterungen" ermöglicht und bei Gesetzesänderungen selbst angepasst werden kann.
Zuletzt möchten wir noch einen Punkt zur Kenntnis bringen, der heute nur diskutiert aber noch nicht in großem Umfang angewendet; zukünftig allerdings an Gewichtung zunehmen wird. Es ist das Datenschutz-Audit. Wir wissen, dass die Institution sich Wettbewerbvorteile durch die Präsentation eines "Siegels" verschaffen kann. Solche "Siegel" sind aber nur dann wirtschaftlich vertretbar erreichbar, wenn die Software des Datenschutzbeauftragten die Informationen, die beim Audit gebraucht und abgerufen werden sollen auch abrufen lässt. Das geht in der Regel nur dann, wenn die in der Datenschutzsoftware hinterlegten Informationen selektierbar und nicht in großen Textfeldern untergebracht sind, aus denen die Informationen wahrscheinlich nicht mehr maschinell ausgelesen werden können. Der Datenschutzbeauftragte denkt an diese Möglichkeit, wenn er seine Software aussucht.
Lassen Sie uns noch kurz den Schwenk zu den eigentlichen Aufgaben des DSB machen und das "Beraten der Institution" betrachten. Dem Datenschutzbeauftragten werden viele Anfragen zu Datenschutz-Problemen angetragen. Die muss er nicht nur bearbeiten, sondern sollte diese Arbeiten auch revisionssicher dokumentieren - damit er einen Nachweis hat. Wir meinen, eine revisionssichere Dokumentation und Nachweisbarkeit (... das war die Anfrage ... das war meine Antwort ...) ist nicht mit "Office-Tools" erreichbar. Die Beratungs-Ergebnisse des Datenschutzbeauftragten sollten deshalb a) in der Datenschutz-Software handhabbar sein und b) die Software sollte möglichst über eine revisionssichere Archivierungsfunktion verfügen (früherer Datenbestand kann geladen und eingesehen aber nicht mehr verändert werden).
Bis hierhin wollen wir bei der Beschreibung der Arbeiten und Aufgaben des Datenschutzbeauftragten und seiner Software gehen, obwohl man noch über viele Aufgaben, wie z.B. die Fachkunde reden könnte.

Kann den Datenschutzbeauftragten eine Software so unterstützen, wie es oben dargestellt ist?
kronsoft bietet dem Datenschutzbeauftragten zwei Software-Systeme an. Eins als Freeware und eins als kostenpflichtige Software. Beide Software-Systeme für Datenschutzbeauftragte decken das oben gesagte ab - die Freeware etwas weniger als die kostenpflichtige Software. Die Freeware ist BDAdmin (http://www.bdadmin.de) und die andere ist opus i. opus i ist keine Billigsoftware, aber auch nicht die Teuerste. Beim Preis-/Leistungsverhältnis ist opus i aber sehr gut. opus i, die Software für den Datenschutzbeauftragten, steht hier für Sie zum Kennenlernen bereit: http://www.kronsoft.de.


Keine Kommentare:

Kommentar veröffentlichen