Angebot

So unterstütze ich Sie in Ihrem Datenschutzprojekt

Was muss eigentlich getan werden, um Geschäftsprozesse und Unternehmenssoftware DSGVO-konform zu machen?

Bestandsaufnahme und Priorisierung

Die Gefahr sich zu Verzetteln ist in Datenschutzprojekten groß. Denn in den Details fühlen sich die Beteiligten meist sicherer. Am Anfang steht deshalb unbedingt eine Bestandsaufnahme, die für alle die erforderliche Übersicht liefert:

  • Welche personenbezogenen Daten sind besonders kritisch?
  • Welche sind die wichtigsten Prozesse, in denen diese Daten verarbeitet werden?
  • In welcher Software werden die Daten verarbeitet?

Ich verschaffe Ihnen den erforderlichen Überblick, indem ich

  • mich in bestehende Unterlagen einarbeiten (von veraltet bis aktuell).
  • Interviews mit Spezialisten aus unterschiedlichen Fachbereichen und IT-Bereichen führe.
  • viele Detailinformationen zu einem Gesamtbild zusammentrage, auf das Wesentliche reduziere und didaktisch so aufbereite, dass sie für alle verständlich werden.
  • die Festlegung und Priorisierung von Zielen ermögliche.
  • Meilensteine gemäß der Dringlichkeit festlege und mit anderen Projekten abstimme.

Überprüfen der Verarbeitungen

Jede Verarbeitung personenbezogener Daten ist auf die Einhaltung elementarer Grundsätze zu überprüfen.

  • Rechtmäßigkeit: Für welchen Zweck werden die Daten verarbeitet und welche Rechtsgrundlagen werden geltend gemacht?
  • Zweckgebundenheit: Werden die Daten ausschließlich zu diesen Zwecken verwendet?
  • Datensparsamkeit: Sind wirklich alle erfassten Daten für diese Zwecke erforderlich? Oder werden auch Daten erfasst, die eigentlich nicht gebraucht werden?
  • Löschen der Daten nach Zweckerfüllung: Werden die Daten gelöscht, sobald deren Zweck erfüllt ist? Sind die Daten so klassifiziert und identifizierbar, dass sie nach individuellen Fristen gelöscht werden können?
  • Speichersysteme und Sicherheit: Werden die Daten in geeigneten IT-Systemen gespeichert? Sind sie dort ausreichend gegen Missbrauch geschützt? Können sie dort ordnungsgemäß verarbeitet, insbesondere auch wieder gelöscht werden?

Die Angaben im Verzeichnis der Verarbeitungstätigkeiten sind für eine verlässliche Überprüfung in der Regel zu unpräzise. Die üblicherweise vorhandenen Dokumentationen, z.B. aus dem Prozessmanagement oder der IT, sind oft nur ein Ansatzpunkt, aber nicht ausreichend. Um die Einhaltung von Datenschutz-Grundprinzipen zu prüfen, müssen die Geschäftsprozesse und die Unternehmenssoftware in der Regel detaillierter untersucht und das Wissen aus vielen Köpfen und Unterlagen zusammengetragen werden. Für die Bewertung sind bei Bedarf Datenschutzbeauftragte, Datenschutz-Auditoren, Juristen oder IT-Security-Spezialisten hinzuzuziehen. Ein positiver Nebeneffekt: Häufig wird bei diesen Untersuchungen Potential für Prozessoptmierungen erkannt.

Ich unterstütze Sie, indem ich

  • mich schnell in bestehende, auch sehr technische Unterlagen einarbeiten (von veraltet bis aktuell).
  • Interviews mit Stakeholdern aus unterschiedlichen Fachbereichen und IT-Bereichen führe.
  • die Detailinformationen über Prozesse und IT zusammentrage und auf das für die Bewertung der Verarbeitungstätigkeiten Relevante reduziere.
  • die Ergebnisse so beschreibe, dass die für die Bewertungen relevanten Informationen für jeden Beteiligten verständlich sind und diese Unterlagen direkt in Ihre Datenschutzdokumentation einfließen können.
  • aus den Bewertungen der Experten die Anforderungen an die Geschäftsprozesse und Softwarelösungen ableite, als klare Vorgabe für Projekte.

Umbau von Geschäftsprozessen und Unternehmenssoftware

Der Aufwand Prozesse und Software-Lösungen so umzubauen, dass sie die Datenschutz-Anforderungen erfüllen, kann sehr unterschiedlich ausfallen. Datensparsamkeit lässt sich oft schnell verbessern. Ebenso das Einschränken von Zugriffsberechtigungen. Müssen ganze IT-Lösungen umgebaut oder sogar ersetzt werden, dann kann dies jedoch Monate in Anspruch nehmen.

Das Ziel sollte immer sein, pragmatische Lösungen zu finden, welche die Anforderungen ausreichend gut erfüllen. Die Komplexität darf nicht unnötig erhöht werden, denn Ressourcen und Budgets sind in der Regel knapp bemessen. Perfektionismus kann langfristig sehr teuer werden. Vorschnelle, nicht ausreichend durchdachte Lösungen allerdings auch.

Da diese Projekte meist bereichsübergreifende Auswirkungen haben, viele unterschiedliche Beteiligte mitwirken und die Umsetzung von Maßnahmen ein wichtiger Teil der Datenschutzdokumentation wird, sind ein gemeinsames Verständnis und ein nachvollziehbares Requirements Engineering besonders wichtig. Transparenz in der Abstimmung, auch mit anderen Projekten, spielt ebenfalls eine wichtige Rolle.

Ich unterstütze Sie, indem ich

  • mit einer klar strukturierten Systemanalyse Zielkonflikte aufdecke, Anforderungen verständlich und nachvollziehbar mache und klare Vorgaben für die IT-Projekte schaffe.
  • den beteiligten Implementierungsteams den erforderlichen Überblick über die betroffenen Bereiche aus der Prozess- und IT-Landschaft liefere.
  • Projekte plane und leite und die Zusammenarbeit unterschiedlicher IT-Teams koordiniere.
  • die Umsetzung der Anforderungen bis in die technischen Details begleite und Fragen und Probleme direkt mit den IT-Experten abstimme.
  • Abnahme und Test begleite oder aktiv mitwirke.
  • die getroffenen Maßnahmen für ihre Datenschutzdokumentation beschreibe.

Daten löschen

Personenbezogene Daten müssen gelöscht werden, sobald der Zweck erfüllt ist, für den sie verarbeitet wurden! Viele Unternehmen haben hier noch große Baustellen. Die bestehenden Geschäftsprozesse und die Unternehmenssoftware sehen oft ein Löschen nicht vor, zumindest nicht so, wie es erforderlich wäre.

In Löschkonzepten werden die individuellen Löschfristen festgelegt. Und es werden auch schon Vorgaben für die technische Umsetzung gemacht. Löschkonzepte sind Teil der Datenschutzdokumentation und deshalb sehr wichtig.

Konzepte alleine reichen aber nicht. Um Daten wirklich zu löschen, müssen nicht selten Softwarelösungen erweitert oder umgebaut werden. Manchmal müssen sogar komplette Datenbestände neu organisiert und klassifiziert oder Erfassungsprozesse umgestaltet werden.

Ich unterstütze Sie, dabei

  • herauszufinden, wo in der IT-Landschaft zu löschende personenbezogene Daten gespeichert sind.
  • die Struktur der Daten, sowie Abhängigkeiten zwischen Daten zu klären.
  • ausgehend von den Geschäftsprozessen die Verwendungszwecke der Daten zu bestimmen.
  • Datenarten abzugrenzen und Löschfristen festzulegen.
  • die Ergebnisse für Ihre Datenschutzdokumentation in einem Löschkonzept festzuhalten.
  • Maßnahmen einzuleiten, die dafür sorgen, dass Daten korrekt klassifiziert sind und den richtigen Datenarten zugeordnet werden können.
  • technische Konzepte für das Löschen zu entwickeln, Umsetzungsvorgaben abzustimmen und die Anforderungen an technische Löschverfahren klar und präzise zu formulieren.

Betroffenenrechte erfüllen

Die DSGVO gesteht Betroffenen wichtige Rechte zu. Betroffene sind zu informieren, sobald ihre Daten erfasst werden. Sie können Auskunft verlangen, ob und welche Daten von ihnen verarbeitet werden. Unter bestimmten Bedingungen können sie sogar verlangen, dass ihre Daten übertragen werden oder dass die Verarbeitung eingeschränkt wird. Sogar das Löschen der Daten kann gefordert werden.

Obwohl es auf den ersten Blick nicht so aussieht: diese Rechte zu erfüllen ist für Unternehmen oft nicht einfach. Erschwerend kommt hinzu, dass die DSGVO enge Fristen setzt. Teilweise ist es ohne Anpassungen in der Unternehmenssoftware sogar unmöglich, die Rechte von Betroffenen korrekt zu erfüllen.

Ich unterstütze Sie dabei,

  • zu klären, wo Daten von Betroffenen erfasst werden und diese zu informieren sind bzw. sie ihre Einwilligung erteilen müssen.
  • sicherzustellen, dass ein Widerruf einer Einwilligung auch wirksam wird.
  • zu klären, in welchen Software-Lösungen welche Daten gespeichert sind.
  • zu klären, wie konkret zu ermitteln ist, ob und welche Daten zu einer bestimmten Person gespeichert sind.
  • diesen Prozess mit Rechten und Pflichten für ihre Datenschutzdokumentation zu beschreiben.
  • Lösungen für die Recherche zu konzipieren und die Anforderungen zu spezifizieren, falls Softwareprogramme die erforderliche Funktionalität noch nicht ausreichend bereitstellen.

Dokumentationspflichten erfüllen

Die Rechenschaftspflicht in der DSGVO überträgt den Unternehmen die Verantwortung nachzuweisen, dass sie die Vorgaben der Verordnung einhalten. Um diese Nachweise liefern zu können, müssen Unternehmen ihre Verarbeitungen personenbezogener Daten und die getroffenen Maßnahmen zur Einhaltung des Datenschutzes dokumentieren. Dazu gehört auch der Vorgaben in den Geschäftsprozessen und in der Unternehmenssoftware. Können diese Nachweise nicht erbracht werden, drohen Strafen.

Ich helfe ihnen,

  • ausgehend von vorhandenen Unterlagen die für den Datenschutz relevanten Sachverhalte in ihrem Unternehmen so zu beschreiben, dass diese nicht nur für die Fachexperten verständlich sind.
  • damit zu zeigen, dass Sie genau wissen, wie personenbezogene Daten in Ihrem Unternehmen verarbeitet werden und dass dabei die Vorgaben des Datenschutzes eingehalten werden.
  • bei Nachfragen oder Prüfungen schnell die angefragten Informationen oder Nachweise liefern zu können.
  • Ihre bestehende Datenschutzdokumentation zu vervollständigen und aktuell zu halten.

Meine Leistungen

Meinen Einsatz richte ich grundsätzlich nach den individuellen Erfordernissen und der individuellen Situation meiner Kunden. Dies reicht von rein beratender Begleitung und Coaching der Teams bis zur Übernahme von Aufgaben im Projekt.

Ich unterstütze Sie bei diesen Aufgaben:

Analyse

  • Bestandsaufnahme, Zielklärung
  • Systemanalyse, Systemarchäologie, Prozessanalyse, Anforderungsmanagement
  • Analyse von Anwendungslandschaften und Datenflüssen
  • Analyse von Datenstrukturen und Schnittstellen
  • Komplexitätsreduktion und Visualisierung

Lösungsentwurf

  • Löschkonzepte
  • Prozessdesign, -optimierung
  • Anforderungsspezifikation an Softwarelösungen
  • Konzeption und Spezifikation technischer Löschverfahren und -prozesse
  • Migrationsplanung

Umsetzung

  • Projektplanung/Projektleitung
  • Begleitung und Steuerung der Software-Entwicklung
  • Klärung und Lösung von Problemen mit Bestandsdaten
  • Test und Abnahme
  • Migrationssteuerung
  • Datenbereinigung

Kommunikation/Dokumentation

  • Moderation von Workshops
  • Übersetzer zwischen Datenschutz, Fachbereichen und IT-Spezialisten
  • Vorbereitung und Zuarbeit für Dokumentationspflichten wie z.B. das Verzeichnis der Verarbeitungstätigkeiten
  • Zuarbeit für Auditoren oder Prüfer
  • Dokumentation von Maßnahmen

Was ich nicht anbiete:

  • Juristische Beratung (zu Datenschutzfragen, Aufbewahrungspflichten, Verträgen, Erklärungen usw.)
  • Datenschutz-Audits, Erstellen von Testaten
  • IT-Security-Beratung
  • Software-Entwicklung

Wenn Sie Bedarf an solchen Dienstleistungen haben, kann ich gerne Kontakt zu kompetenten Personen aus meinem Netzwerk herstellen.

Diesen besonderen Nutzen kann ich Ihren Projekten bringen

Schneller Überblick

Ich arbeite mich sehr schnell in komplexe Prozess- und IT-Landschaften ein. Als Außenstehender stelle ich die Fragen, die intern gerne übersehen werden. Das Spezial-Know-how der Einzelnen ordne ich in ein Gesamtbild ein und zeige die Zusammenhänge. Die Zusammenarbeit wird effizienter, es werden weniger Fehler gemacht.

Komplexität reduzieren

Ich bin sehr gut darin, komplexe Zusammenhänge verständlich und transparent zu vermitteln. Darin habe ich jahrezehntelange Erfahrung. Ich erreiche es, dass ihre Teams und teure externe Experten weniger aneinander vorbeireden, Sachverhalte schneller und besser bewerten und sicherer Entscheidungen treffen können.

Fäden zusammenhalten

Ich verstehe und spreche die Sprache der Datenschützer, der Prozessverantwortlichen und der IT-Experten. So kann ich für eine klare und präzise Kommunikation zwischen diesen Gruppen sorgen. Vorschnelle Einigkeit, weil Wichtiges nicht beachtet wurde, oder ein Verlieren in Details wird vermieden.

Sicherheit ins Team bringen

Datenschutz ist in den meisten Unternehmen ein unbeliebtes Thema. Mitarbeiter haben oft Angst, Fehler zu machen. Mit meiner praktischen Erfahrung aus Datenschutz-Projekten und meiner Fähigkeit, Komplexes verständlich zu machen gebe ich den Teams Sicherheit und führe sie schneller zu Ergebnissen.

Schnellere Ergebnisse

Die Hürden Geschäftsprozesse DSGVO-konform zu machen, hängen wenig von der Branche ab. Lösungskonzepte können oft übertragen werden. Nutzen Sie meine mehr als 5 Jahre praktische Erfahrung aus Datenschutzprojekten und meine jahrzehntelange Erfahrung aus IT-Projekten.

Datenschutz ist in Ihrem Projekt auch wichtig, spielt aber keine so zentrale Rolle? Besuchen Sie auch meine Webseite zum Thema Digitale Innvoationen in gewachsenen Unternehmensstrukturen