DSGVO Vorgangsbearbeitung – sicher und transparent Wie kann ich meine DSGVO Vorgänge sicher, kosteneffizient und nachvollziehbar umsetzen?

DSGVO Prozesse mit ECLISO | CENIT

Mit der neuen EU-Datenschutzgrundverordnung (DSGVO/GDPR) sind die Anforderungen an Prozessqualität und Geschwindigkeit drastisch gestiegen. Die mit DSGVO einhergehenden Pflichten sind mit klar definierten Zeitfenstern hinterlegt, innerhalb derer Vorgänge bearbeitet sein müssen. Bei einem Datenschutzverstoß müssen z.B. alle zuständigen Sicherheitsbehörden sowie betroffenen Personen innerhalb von 72 Stunden umfassend informiert werden.

Ein Aussitzen dieser Pflichten ist riskant. Behörden, wie das Landesamt für Datenschutz in Bayern haben bereits Prüfungen und Sanktionen bei Nichterfüllung angekündigt. Unternehmen drohen Strafen von bis zu 4% ihres Jahresumsatzes. Und die Riege der Abmahnanwälte freut sich schon auf glänzende Geschäfte.

Damit es so weit nicht kommt, müssen die wichtigsten DSGVO-bezogenen Prozesse sauber orchestriert und mit passenden Werkzeugen umfassend unterstützt werden. Neben technischen Fragestellungen, z.B. zur Speicherung von Daten, gehören dazu auch die organisatorischen Fragestellungen. Beispielsweise die saubere Erfassung der Vorgänge und die vollständige und fehlerfreie Abarbeitung der einzelnen Arbeitsschritte und Freigaben. Genauso wichtig ist die umfassende Dokumentation und Nachweisführung zu diesen Vorgängen.

Wen betrifft das?

Die DSGVO ist kein isoliertes IT-Thema, sondern betrifft fast alle Bereiche eines Unternehmens:

  • Personalwesen: Handhabung personenbezogener Daten von Bewerbern und ehemaligen Mitarbeitern.
  • Rechtsabteilung: Handhabung externer Anfragen und Rechtsstreitigkeiten; Festlegung der Vorhaltefristen für Dokumente mit personenbezogenen Daten.
  • Marketing: Abfrage und Nachweis des Konsenses zur Verarbeitung personenbezogener Daten.
  • Finanzen/Risikomanagement: Handhabung von SEPA Daten; Durchführung periodischer Risikoprüfungen.
  • IT: Inventarisierung, Verarbeitung und Schutz personenbezogener Daten.
  • Einkauf: Beauftragung externer Dienstleister bei Verarbeitung personenbezogener Daten, z.B. Direktmailing oder Telemarketing.

Hier sind viele Unternehmen noch nicht gut aufgestellt. Zu viele Aktivitäten sind immer noch manuell sowie über eine Vielzahl von Tools verstreut. Das erhöht Fehleranfälligkeit wie Kosten und erschwert die Nachweisführung, z.B. bei Audits oder Rechtsstreitigkeiten.

Und so könnte die Lösung aussehen

Eine Vorgangsbearbeitung muss die wichtigen DSGVO Prozesse im Lebenszyklus personenbezogener Daten unterstützen. Hierzu gehören:

  • Subject Access Requests: Handhabung von Anfragen, Beschwerden und Widerrufen von betroffenen Personen (Frist 1 Monat).
  • Data Breach Management: Handhabung von Datenschutzverstössen und Pflichtmeldungen (Frist 72 Stunden!).
  • Privacy Impact Assessments / Data Protection Impact Assessments: Durchführung periodischer Risikobewertungen.
  • Data Protection Auditing: Periodische interne Auditierung der Prozesse und Tools, ggf. Zertifizierung des Datenschutz-Management-Systems.
  • Auftragsdatenverarbeitung: Abbildung des Prozesses bei der Verlagerung der Verarbeitung personenbezogener Daten an externe Verarbeiter.
  • Consent Management: Verwaltung von Einwilligungen und AGBs – Einwilligungen für Datenverarbeitungen werden verwaltet und der Auftragsdatenverarbeitung sowie den verarbeitenden Systemen zugewiesen. Allgemeine Geschäftsbedingungen werden im System verwaltet und versioniert.
  • Data Portability: Übertragung personenbezogener Daten an andere Unternehmen.

Die werkzeuggestützte Vorgangsbearbeitung muss alle relevanten Informationen und Dokumente in einer elektronischen Akte zusammenstellen und die einzelnen Arbeitsschritte und Freigabeprozesse vorgeben. Abhängig vom Vorgangstyp müssen in der Akte die jeweils passenden Handlungsanweisungen, Checklisten und Vorlagen des jeweiligen Unternehmens hinterlegt werden können. In der Bearbeitung werden alle internen sowie externen Eingangs- und Ausgangsdokumente im der Lösung zugrunde liegenden Archiv archiviert. Diese Dokumente müssen zu vorgegebenen Fristen automatisiert gelöscht oder bei entgegenstehenden gesetzlichen Vorgaben mit Löschsperren geschützt werden (Retention Management).

Die Nachweisführung und Auditfähigkeit spielen in der DSGVO eine wichtige Rolle. Daher müssen die Vorgänge sowie alle dazugehörigen Dokumente und Arbeitsschritte auswertbar und nachvollziehbar sein. Ein flexibles Reporting ist daher unabdingbar.

Was kann eine DSGVO Vorgangsbearbeitung konkret bewirken?

Damit schaffen Unternehmen Transparenz über Prozesse, Dokumente und Fristen. Sie erhalten Kontrolle über die Vorgänge, z.B. durch klar definierte Freigaben, und können diese jederzeit nachweisen. Menschliche Fehlerquellen werden damit reduziert. Die Erfüllung der DSGVO Vorgaben reduziert Risiken und verhindert mögliche Strafen. Und nebenbei sparen Organisationen noch Administrations- und Speicherkosten, indem nicht mehr benötigte Dokumente konsequent gelöscht werden.

DSGVO Vorgangsbearbeitung smart einführen?

Das können wir gemeinsam. Auf Basis bestehender Lösungen und Best Practices kombiniert das CENIT Vorgehensmodell bewährte Ansätze aus dem Projektmanagement mit agilen, iterativen Methoden. Damit können wir gemeinsam mit unseren Kunden praxisnahe und auf die DSGVO Anforderungen passende Anwendungsszenarien identifizieren und umsetzen. Gerne begleiten wir auch Sie auf diesem Weg.

FRAGEN? WIR BERATEN SIE GERNE!

Andreas Carlsen

Senior Manager Research & Development, Enterprise Information Management

CENIT AG
Wendenstraße 1a
20097 Hamburg

+49 40 2 53 34 66 75
a.carlsen@cenit.com