IT-Sicherheit: SAVISCON GmbH stellt sich breiter auf

Die SAVISCON GmbH stellt sich breiter auf: Ingo Simon (Geschäftsführer) und Daniel Straßberger (IT-Sicherheitsbeauftragter) haben die Weiterbildung zum ISMS-Beauftragten / ISMS-Manager (DIN Certco) nach DIN ISO 27001 erfolgreich abgeschlossen. Daniel Straßberger ist darüber hinaus zertifizierter IT-Grundschutz-Praktiker (TÜV). “Wir wollen unseren Kunden mit fundiertem und aktuellem Fachwissen zur Seite stehen – die Zertifizierung ist ein toller Weg, um das transparent nach außen zu kommunizieren”, erklärt Ingo Simon. Erfahren Sie mehr:

Datenschutz-Folgenabschätzung

GRC@SAVISCON: Datenschutz

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „Verzeichnis von Verarbeitungstätigkeiten“ der Reihe GRC@SAVISCON über dessen Aufbau und die damit verbundenen Herausforderungen berichtet haben, soll es heute um die Datenschutz-Folgenabschätzung gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Datenschutz.

Ein kurzer Rückblick:

In meinem letzten Blog-Beitrag habe ich ausführlich über das Verzeichnis von Verarbeitungstätigkeiten (VVT) berichtet und darüber, dass das Verzeichnis als Zentrum/Kern gesehen werden kann. Eine Verarbeitungstätigkeit stellt einen Prozess dar, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden. Am Ende unseres Projektes GRC@SAVISCON wollen wir alle entsprechenden Prozesse vollständig (mit mind. allen Pflichtangaben, die ein VVT haben muss) in unserer eigenen GRC-Software (GRC-COCKPIT) erfasst haben.

Aktuell ist der Stand noch nicht ganz erreicht, da und das Tagesgeschäft uns mit den begrenzten Ressourcen allzu oft daran hindert, alle relevanten Informationen einzusammeln und einzutragen. Hier werden noch ein paar Abstimmungstermine mit den Fachbereichen notwendig sein. Wie Sie sehen, ist hier der Austausch zwischen Datenschutz und Fachbereichen sehr wichtig und unumgänglich. Aus dem Bereich Datenschutz kommt die Struktur, der Anstoß und eine Empfehlung – der fachliche Inhalt muss aber aus der Organisation heraus erstellt werden.

Wie aber hängt nun die Datenschutz-Folgenabschätzung mit dem VVT zusammen?

Im Verzeichnis kann auf Dokumente, Richtlinien, Vertragswerke, Rechtsgrundlagen, Maßnahmen, etc. verwiesen werden. Der Prozess ist somit als Verarbeitungstätigkeit bereits dokumentiert und es kann direkt eine Datenschutz-Folgenabschätzung (falls notwendig) als Maßnahme abgeleitet werden. Diese Funktion ist bereits in unserem GRC-COCKPIT umgesetzt. Aber dazu später mehr …

Was ist eigentlich eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA ist eine Form der Risikobewertung inkl. möglicher Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Führt die Art der Verarbeitung voraussichtlich zu einem hohen Risiko für die Betroffenen, so muss der Verantwortliche vorab (also vor Inkrafttreten dieser neuen Verarbeitungstätigkeit) eine Datenschutz-Folgenabschätzung durchführen. Dabei holt er den Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) ein (gemäß Art. 35 Abs. 2 DS-GVO). Dieser prüft die Risiken und gibt abschließend eine Empfehlung / Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.

Wann ist eine DSFA notwendig?

Gemäß Art. 35 Abs. 1 DS-GVO ist eine Datenschutz-Folgenabschätzung durchzuführen, wenn:

„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“.

In Art. 35 Abs. 3 DS-GVO werden folgende Beispiele genannt:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Was bedeutet das nun für uns in der Praxis?

An dieser Stelle möchte ich zum einen die abgestimmte „Muss-Liste“ der Datenschutzkonferenz (DSK – Gremium der deutschen Datenschutzaufsichtsbehörden) und zum anderen ein Working Paper (WP) der Art. 29 Gruppe erwähnen. Diese beiden Quellen haben es mir leichter gemacht, das Thema DSFA besser einordnen und umsetzen zu können.
In der sogenannten „Muss-Liste“ (DSFA_MUSS_LISTE_DSK_DE.PDF – Stand 17.10.2018) werden Beispiele von Verarbeitungstätigkeiten aus der Praxis aufgeführt, für die eine DSFA zwingend durchzuführen ist.

Screenshot der Liste der Verarbeitungstätigkeiten Datenschutz-Folgenabschätzung

Screenshot: Auszug aus der DSK „Muss-Liste“

Im WP 248 (Stand 04.10.2017) hingegen, werden ab Seite 10 insgesamt 9 Kriterien aufgeführt, die für die eigene Bewertung hinzugezogen werden können, wenn die betreffende Verarbeitungstätigkeit nicht in der Muss-Liste aufgeführt ist. Außerdem sind ebenfalls Praxisbeispiele zur Orientierung aufgeführt.

Screenshot Auszug aus dem Working Paper 248 - Kriterien

Auszug aus dem Working Paper 248 – Kriterien

Screenshot Auszug aus dem Working Paper 248 - Praxisbeispiele

Auszug aus dem Working Paper 248 – Praxisbeispiele

Um es auch unseren Kunden des GRC-COCKPIT bei der Entscheidung „Datenschutz-Folgenabschätzung, ja/nein?“ einfacher zu machen, haben wir eine Checkliste mit den Inhalten aus den oberen beiden Dokumenten in die Software eingebaut. Anhand der Liste kann der User die Bewertung pro Verarbeitungstätigkeit durchführen und die entsprechenden Antworten vermerken.

Screenshot GRC-COCKPIT „Checkliste DSFA”

Auszug GRC-COCKPIT „Checkliste DSFA”

Wird mind. eine Frage mit ja beantwortet, so wird im GRC-COCKPIT systemtechnisch mittels eines Anwenderhinweises nachgefragt, ob eine Maßnahme „Datenschutz-Folgenabschätzung durchführen“ abgeleitet werden soll. Wird dies bestätigt, hat der Verantwortliche gleich eine Maßnahme im System hinterlegt und kann dies nicht mehr vergessen. Wird keine Maßnahme erstellt, so wird nur die Checkliste mit den aktuellen Angaben gespeichert.

Screenshot GRC-COCKPIT „Maßnahme DSFA ableiten?”

Auszug GRC-COCKPIT „Maßnahme DSFA ableiten?”

In der Verarbeitungstätigkeit selbst ist dann der aktuelle Status entsprechend dokumentiert:

Auszug GRC-COCKPIT „Datenschutz-Folgenabschätzung notwendig? Status offen / ja / nein”

Auszug GRC-COCKPIT „Datenschutz-Folgenabschätzung notwendig? Status offen / ja / nein”

Wie ist eine DSFA durchzuführen?

Gemäß Art. 35 Abs. 7 müssen folgende Punkte enthalten sein:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Sie sehen, auch beim Thema Datenschutz-Folgenabschätzung nutzen wir Orientierungshilfen und Kurzpapiere der Aufsichtsbehörden bzw. der Datenschutzkonferenz. So treiben wir Stück für Stück unser Datenschutz-Projekt voran und entwickeln parallel unsere eigene GRC-Software (GRC-COCKPIT) weiter, damit wir unseren Kunden auch weiterhin passende Lösungen für aktuelle Anforderungen bieten können.

…to be continued:

Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema Datenschutz-Folgenabschätzung:

  • Datenschutz-Folgenabschätzung hört sich komplizierter an, als sie ist
  • Orientierungshilfen und Kurzpapiere können eine gute Grundlage geben, um die Artikel der DS-GVO praxistauglich umzusetzen
  • es lohnt sich, Zeit und Mühe in das Verzeichnis von Verarbeitungstätigkeiten zu stecken, da die Notwendigkeit einer DSFA direkt aus der einzelnen Verarbeitungstätigkeit bewertet werden kann
  • es ist sehr hilfreich, alles in einem System (z. B. unser GRC-COCKPIT) abbilden zu können, so werden Doppelerfassungen und Abweichungen vermieden und es findet eine zentrale Dokumentation und Kontrolle statt.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

 

3 Herausforderungen bei Risiko-Assessment-Workshops

Im Rahmen des Aufbaus und Betriebs eines Compliance-Management-Systems (CMS) ist bei unseren Kunden ein wichtiges Arbeitspaket die Durchführung von Risiko-Assessment-Workshops. Ziel dieser Workshops ist es, gemeinsam mit den Fachbereichen, die bedeutsamen Compliance-Risiken in dem jeweiligen Verantwortungsbereich herauszuarbeiten. Diese werden dann von der zentralen Compliance Stelle im Compliance Management System geführt und weiterverfolgt.

Ein angenehmer Nebeneffekt ist, dass durch die Workshops auch Awareness bei den Fachbereichen geschaffen. Insbesondere beim nachfolgenden Betrieb des Compliance Management Systems ist die Awareness und Unterstützung der Fachbereiche für die Compliance Stelle nämlich ein zentraler Erfolgsfaktor.

Aus unserer Erfahrung heraus gibt es drei Herausforderungen bei den Risiko Assessment Workshops, die am besten vor der Durchführung bedacht werden sollten:

1) Erläuterung des Zwecks und Zieles

Mit der ersten Kontaktaufnahme mit den Fachbereichen haben Sie die Chance das Thema Compliance richtig und positiv zu platzieren. Ist dem Fachbereich die Frage nach Ziel und der Zweck – also das „Wieso Compliance“ – nicht vollständig beantwortet, wird das Thema Compliance als Overhead ohne Nutzen wahrgenommen. Vielleicht gelingt trotzdem eine formale Zusammenarbeit, doch inhaltlich wird dann dabei eher weniger herauskommen.

Unser Tipp: Überlegen Sie sich aus Perspektive des Fachbereiches, wieso Compliance und das damit verbundene Risiko Assessment so wichtig ist! Stellen Sie dies dem Fachbereich bei der ersten Gesprächsaufnahme dar. Zeigen Sie, dass es auch einen Nutzen für den Fachbereich gibt!

2) Gespräch auf Augenhöhe

Der Fachbereich erwartet – genauso wie Sie auch – ein Gespräch auf Augenhöhe. Wenn Sie allerdings überhaupt kein Verständnis für die Prozesse und das Umfeld des Fachbereichs haben, ist es schwer ein Gespräch auf Augenhöhe zu führen. Oftmals hat der Fachbereich auch Hemmungen bzw. „Angst“ ein offenes Gespräch mit der Compliance Stelle zu führen, da dies als Bedrohung wirkt.

Unser Tipp: Arbeiten Sie sich vor einem Risiko Assessment in die Themen des Fachbereichs ein: Welche Prozesse gibt es? Welche Anforderungen stehen im Mittelpunkt? Stellen Sie in dem Gespräch dar, dass Sie auf der selben Seite sind und dass es nicht darum geht, den Fachbereich Fehler aufzuzeigen oder gegen ihn vorzugehen.  Sie sind im selben Boot.

3) Technische Unterstützung

Wenn das Assessment gut gelaufen ist, erhalten Sie am Ende eine Liste von potentiellen Compliance Risiken, die nun näher betrachtet werden. Oftmals beginnt hier eine Kombination aus Email-Korrespondenz und dem Kampf mit Excel-Monstern.  Das führt zu erhöhen Frust und Unlust die Dokumentation angemessen und nachvollziehbar durchzuführen.

Unser Tipp: Schaffen Sie durch technische Unterstützung frühzeitig eine Infrastruktur, um effizient mit dem Fachbereich zusammenzuarbeiten. Wir machen das beispielsweise mit unserem SAVISCON GRC-COCKPIT. In unserer Blog-Reihe GRC@SAVISCON können Sie nachlesen, wie wir im Begriff sind, unser eigenes GRC-Management mit dem GRC-COCKPIT aufzubauen.

Fazit

Setzen Sie sich am besten vor dem ersten Dialog mit den Fachbereichen mit den Herausforderungen auseinander. So können Sie sicher sein, dass die Assessments angenehm verlaufen und die Zusammenarbeit harmonisch verläuft.

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel