Die Datenschutz-Diskussion konzentriert sich gegenwärtig stark auf die juristischen Aspekte der DSGVO (und in diesem Zusammenhang auch auf das Schweizerische Datenschutzrecht). Wenig verwunderlich, denn das grosse Regelwerk wird aktuell durch die laufende Gerichtspraxis austariert.
Betriebliche Datenschutzbeauftragte hingegen stehen vor der nicht einfachen Aufgabe, die DSGVO in der Praxis umsetzen zu müssen, sie zu „operationalisieren“. Diese Aufgabe gestaltet sich komplex, denn selbst unter Ausklammerung des „Privacy by Design“ müssen viele Vorgaben auf die Systeme „hinuntergebracht“ werden, unter anderem:
- Recht auf Vergessenwerden (DSGVO Art. 17)
- Datenminimierung (DSGVO Art. 5c)
- Reaktion auf Auskunftsbegehren (DSGVO Art. 15)
- Aufbewahrungsfristen (DSGVO Art. 5e)
Dies in einem immer komplexer werdenden organisatorischen Umfeld, das geprägt ist durch eine stets wachsende Systemlandschaft und einer beispiellosen Proliferation von Daten- und Informationsflüssen. Die Frage stellt sich nun, wie Datenschutz- und andere Compliance-Regeln umgesetzt und gleichzeitig Geschäftsinteressen gewahrt werden können.
Information Management Werkzeuge
Information Management, und dessen Untersparte Records Management (die bei uns immer noch viel zu wenig beachtet wird), stellen Prinzipien und Werkzeuge zur Verfügung, die bei der Umsetzung der DSGVO und dem Schweizerischen Datenschutzrecht zentral und unumgänglich sind.
Eine der Kernaufgaben ist, zunächst Übersicht zu schaffen. Dies ist auch Grundvoraussetzung für die Konformität mit der DSGVO. Denn wer nicht weiss, wo und wofür in der eigenen Organisation Personendaten erhoben werden, steht schon einmal schlecht da.
Als Analysewerkzeug hat sich in der Praxis als erster Schritt die Prozesslandkarte bewährt, mit spezifischem Fokus auf die Input- und Output-Daten eines jeden Prozesses, die Art der Daten und auch: deren Eigentümer.
Basierend auf der Prozesslandkarte geht es danach um die Speicherorte. Ergänzt man diese in der Prozesslandkarte, und fügt noch diejenigen der individuellen Datenverarbeitung (IDV) hinzu, so erhält man ein Dateninventar. Von hier aus ist es nur ein kleiner Schritt, das Inventar auch um die Erfordernisse der DSGVO in Bezug auf das Verzeichnis der Verarbeitungstätigkeiten (VVT, Art. 30) zu ergänzen.
Das VVT ist aber nur eines der Ziele, denn das Dateninventar dient gleichzeitig auch der effizienteren Abwicklung der organisations-eigenen Datenverwaltungs-Prozesse. Es hilft einer Organisation, wenn sie weiss, wo welche Daten liegen (Stichwort bessere Erschliessung des Organisationswissens). Mit Datenschutzbezug können Auskunftsbegehren effizienter beantwortet, Löschkonzepte der einzelnen Systeme auf ihre Konformität geprüft und Redundanzen und Kopien identifiziert werden, um nur einige Themen zu nennen.
Zusammenfassung
Bekannte Techniken des Information Managements sind also enorm nützlich, um in der betrieblichen Praxis Konformität mit den Vorschriften des Datenschutzes herzustellen, gleichzeitig aber auch die internen Datenflüsse – zum Nutzen aller – besser unter Kontrolle zu bekommen.
Phase3 unterstützt betriebliche Datenschutzbeauftragte und andere betroffene Stellen beim Erstellen und Einsatz dieser Werkzeuge und verfügt über die entsprechenden Methodiken zur Erfassung ganzer Organisationen. Kontaktieren Sie uns dafür unter phase3@phase3.ch .
