Warum ein prozessbasierter Ansatz sinnvoll für die DSGVO-Umsetzung ist

Die Datenschutzgrundverordnung geht mit erweiterten Dokumentations- und Rechenschaftspflichten für Unternehmen einher. Ab dem 25. Mai gilt die Beweislastumkehr: Damit stehen nicht mehr die Behörden im Falle von Verstößen in der Nachweispflicht, sondern Unternehmen und öffentliche Einrichtungen haben die Aufgabe, selbst nachzuweisen, dass sie im Einklang mit den Datenschutzgesetzen agieren.

Ein wasserdichtes Datenschutz-Management-System, das alle datenschutzrechtlich relevanten Unternehmensprozesse abbildet, wird damit zu einer wichtigen Voraussetzung für DSGVO-Konformität. Wie sich so ein System aufsetzen lässt, zeigen wir Ihnen hier in vier Schritten auf.

Vier Schritte auf dem Weg zur Datenschutzgrundverordnung

Der Anwendungsfall: Die ACME AG prüft DSGVO-relevante Unternehmensprozesse (Beispielunternehmen)

Die ACME AG ist ein internationales Unternehmen mit zahlreichen Standorten in unterschiedlichen EU-Mitgliedsstaaten. Bis zum 25. Mai steht die ACME AG vor der Herausforderung, die neuen datenschutzrechtlichen Anforderungen umzusetzen.

Dafür werden unternehmensweit alle datenschutzrechtlich relevanten Prozesse überprüft: Ist das aktuelle Datenschutz-Management DSGVO-konform oder müssen konkrete Optimierungsmaßnahmen eingeleitet werden?

Das Ziel: Ein umfassendes Datenschutz-Management-System zur Überwachung DSGVO-relevanter Prozesse

Durch ein Datenschutz-Management-System möchte die ACME AG sicherstellen, dass alle DSGVO-relevante Prozesse kontinuierlich überwacht und verbessert werden. Auf diesem Wege sollen Prozessabweichungen identifiziert, optimiert und zukünftige Prozessänderungen mit Blick auf die Anforderungen der DSGVO in die Wege geleitet werden.

Das Vorgehen: DSGVO-Umsetzung mit Signavio in vier Schritten

Unternehmensvorstände und Compliance-Verantwortliche fragen sich, wie sie die Anforderungen der DSGVO konsequent umsetzen können – so auch die ACME AG. Um dieses Ziel zu erreichen und DSGVO-konform zu agieren, setzt das Beispielunternehmen auf einen Vier-Schritt-Ansatz mit Signavio:

DSGVO-Umsetzung: Die 4 Schritte

Planen: Um personenbezogene Daten zu klassifizieren, wird ein IT-System implementiert, das erlaubt, DSGVO-relevante Daten zu erfassen.

Identifizieren: Nun gilt es zu erkennen, welche personenbezogenen Daten sich an welchen Stellen verbergen. Dafür untersuchen die Verantwortlichen der verschiedenen Fachbereiche die jeweiligen Unternehmensabläufe.

Zuordnen: Anschließend werden die personenbezogenen Daten den DSGVO-relevanten Prozessinformationen zugeordnet.

Überwachen: Der vierte Schritt ist eine kontinuierliche Aufgabe: Da sich Prozesse und IT-Systeme stets verändern, müssen personenbezogene Daten regelmäßig überwacht werden. So wird kontinuierlich geprüft, in welchen Prozessen oder IT-Systemen welche personenbezogenen Daten verarbeitet werden.

Schritt 1: Die richtige Planung

Das Ziel

Alle personenbezogenen Daten sollen mitsamt ihrer rechtlichen Grundlage zur Verarbeitung in allen Prozessen erfasst und unternehmensweit abgebildet werden.

Der Weg

  • Datenschutz-Management-System aufsetzen
  • Zentrales Verzeichnis von Verarbeitungstätigkeiten hinterlegen
  • Rechtmäßigkeit der Verarbeitung personenbezogener Daten prüfen

Im ersten Schritt richtet die ACME AG unternehmensweit ein Datenschutz-Management-System ein, um die Verarbeitung aller vorliegenden personenbezogenen Daten zu erfassen und abzubilden. Das System enthält Informationen über Verantwortlichkeiten, ein Verarbeitungsverzeichnis, technisch-organisatorische Maßnahmen und ein Risiko-Management-System.

Um diesen Anforderungen gerecht zu werden, nutzt die ACME AG Signavios Process Manager als Bestandteil der Business Transformation Suite. Die cloudbasierte SaaS-Lösung bietet ein individuell konfigurierbares Glossar, das erlaubt, personenbezogene Daten zu erfassen.

Das Glossar dient als zentrales Objektverzeichnis und wird als Register für bestehende Unternehmensprozesse genutzt. Es erlaubt, Geschäftsobjekte (zum Beispiel Organisationseinheiten oder IT-Systeme) zu definieren, zentral in den Prozessen zu hinterlegen und mit Objekten aus Geschäftsprozessen zu verlinken. Diese Informationen können gemäß den DSGVO-Anforderungen als Kategorien definiert und als Attribute für die Elemente der hinterlegten Geschäftsprozesse verwendet werden.

DSGVO-Umsetzung: Glossar

Doch um ein zuverlässiges Datenschutz-Management-System aufzusetzen, muss die AMCE AG in jedem einzelnen DSGVO-relevanten Prozessschritt auch die Rechtmäßigkeit der Verarbeitung personenbezogener Daten überprüfen. Auch dieser Schritt lässt sich mittels des Glossars umsetzen:

Die Prozessverantwortlichen definieren eine Kategorie für die rechtliche Grundlage der Verarbeitung und ordnen sie einem Attribut für Prozessdiagramm-Elemente zu. Diese Kategorie enthält alle einzelnen Bedingungen, die nach der DSGVO definiert wurden. (z. B. Einwilligung des Datensubjektes, Erfüllung eines Vertrages). Durch diese neue Kategorie erscheint bei jeder Verarbeitungstätigkeit von personenbezogenen Daten in allen relevanten Unternehmensprozessen ein neues Feld: Dieses wird obligatorisch von den jeweiligen Bearbeitern befüllt.

So werden die DSGVO-relevanten Informationen, die in diesem Schritt definiert wurden, direkt im Prozess hinterlegt.

Schritt 2: Personenbezogene Daten identifizieren

Das Ziel

Die ACME AG steht vor der Aufgabe zu erkennen, welche personenbezogenen Daten sich an welchen Stellen verbergen und welche Verantwortlichkeiten vorliegen.

Der Weg

  • DSGVO-Freigabe-Workflow einrichten
  • Prüfung der Prozessdiagramme auf DSGVO-Konformität durch die Entscheidungsträger
  • Prozessfreigabe durch Entscheidungsträger

Im zweiten Schritt geht es darum, personenbezogene Daten zu identifizieren. Dafür werden alle Unternehmensabläufe auf ihre DSGVO-Relevanz hin geprüft. Zu diesem Zweck konfiguriert die ACME AG einen Freigabe-Workflow. Die technologische Grundlage bietet Signavios cloudbasierte SaaS-Lösung.

Ein Freigabe-Workflow bietet der ACME AG die Möglichkeit, Prozessdiagramme im gesamten Unternehmen systematisch zu überprüfen. Dieser Workflow ist automatisiert und basiert auf den einzelnen Prozessschritten, die zuvor für entsprechend definiert wurden. Mit diesem Workflow evaluieren Entscheidungsträger rechtzeitig die Qualität und Richtigkeit der Prozessdiagramme und prüfen, ob personenbezogene Daten DSGVO-konform verarbeitet werden.

Um diesen Freigabe-Workflow umzusetzen, werden die Prozessteilnehmer den einzelnen Attributen zugeordnet. Dann erhalten alle Compliance-Verantwortliche, die für die DSGVO-Umsetzung zuständig sind, die Aufgabe, ihre jeweiligen Prozesse kritisch zu prüfen. Alle Prozesse, die sie jetzt als irrelevant einstufen, werden freigegeben und veröffentlicht, während die anderen DSGVO-kritischen Prozesse überarbeitet werden. Jede Aktivität innerhalb dieses Freigabe-Workflows wird dabei genau dokumentiert.

Durch den Freigabe-Workflow kann die ACME AG personenbezogene Daten erfolgreich identifizieren.

Schritt 3: Personenbezogene Daten den einzelnen Prozessen zuordnen

Das Ziel

Alle personenbezogenen Daten sollen identifiziert und den jeweiligen Prozessen zugeordnet werden.

Der Weg

  • Personenbezogene Daten erfassen
  • Verantwortlichkeiten definieren
  • Attribute visualisieren
  • Datenschutz-Folgenabschätzung gemäß Art. 35

Die ACME AG hat ein Datenschutz-Management-System eingerichtet und DSGVO-relevante Prozesse kritisch geprüft. Jetzt geht es im dritten Schritt darum, alle DSGVO-relevanten Objekte mit den entsprechenden Prozessen zu verlinken.

Zu diesem Ziel erstellen die Prozessverantwortlichen der ACME AG ein Framework aus DSGVO-Attributen und verknüpfen es mit dem Glossar. So kategorisieren sie alle Attribute gemäß den DSGVO-Vorgaben und verknüpfen sie mit den einzelnen Prozessdiagrammen.

In diesem Zuge lassen sich auch Verantwortlichkeiten definieren und in den Prozessmodellen festhalten, etwa für Datenschutzbeauftragte oder andere Entscheidungsträger/innen. Dies ist durch eine Attribuierung auf Prozessdiagramm- oder Elementebene möglich.

Die ACME AG hat auf diesem Wege ihre personenbezogenen Daten den Prozessen zugeordnet. Nun steht sie vor einer weiteren Herausforderung: Die DSGVO schreibt die Durchführung einer Datenschutz-Folgenabschätzung vor, insofern ein hohes Risiko bei der Verarbeitung von personenbezogenen Daten vorliegt. Dies kann der Fall sein, wenn es sich um sensible Daten handelt oder wenn die zu verarbeitenden Daten sehr umfangreich sind.

Alle Bedingungen, die die DSGVO für die Durchführung dieser Datenschutz-Folgenabschätzung definiert, können mit Signavio im Datenschutz-Management-System der ACME AG hinterlegt werden. Wie alle Risiken und Kontrollen können auch diese Bedingungen in Signavios Process Manager direkt an den einzelnen Prozessschritten hinterlegt werden. Dazu wird auf Prozessdiagramm- und Elementebene ein Attribut vom Typ „Risikomanagement“ angelegt, das alle DSGVO-spezifischen Risiken und Kontrollen erfassen soll. Mit den zusätzlichen Glossarkategorien „DSGVO-Risiken“ und „DSGVO-Kontrollen“ werden individuelle Attribute für die entsprechenden Glossarbegriffe definiert.

Auf diese Weise erfasst die ACME AG Risiken und Kontrollen gezielt im Rahmen der DSGVO-Umsetzung.

Schritt 4: Kontinuierliche Prozessüberwachung

Das Ziel

Dauerhafte DSGVO-Compliance in einer sich wandelnden Prozesslandschaft.

Der Weg

  • DSGVO-Freigabe-Workflow zur kontinuierlichen Überwachung der DSGVO-Konformität
  • Reporting
  • Prozesshandbuch

Der vierte Schritt ist eine kontinuierliche Aufgabe: Die ACME AG muss ihre Prozesse regelmäßig und konstant überwachen, um sicherzustellen, dass sie alle DSGVO-Anforderungen jederzeit einhält.

Dafür verwendet die ACME AG den DSGVO-Freigabe-Workflow, den sie in Schritt zwei zur initialen Analyse aufgesetzt hat. Dieser Workflow erlaubt eine regelmäßige Überwachung von Unternehmensabläufen und kann bei etwaigen Prozessneuerungen oder -variationen ausgelöst werden.

Daneben bietet Signavio umfangreiche Auswertungsmöglichkeiten, die erlauben, individuelle Reports zu erstellen und exportieren. So erzeugt die ACME AG einen automatischen Risikomanagement-Report, um alle DSGVO-Risiken und alle Kontrollschritte kontinuierlich zu überwachen.

Eine kontinuierliche Prozessüberwachung ist nicht zuletzt aufgrund der Beweislastumkehr wichtig, denn mit der DSGVO stehen erstmals die Unternehmen selbst in der Pflicht, nachzuweisen, dass sie die DSGVO-Richtlinien einhalten. Um dieser Dokumentationspflicht nachzukommen, entwerfen die Prozessverantwortlichen der ACME AG ein Prozesshandbuch-Template in Signavio. So haben sie eine Übersicht zu allen DSGVO-relevanten Metadaten, auf die sie für Audits zurückgreifen kann. Dieses Handbuch kann individuell konfiguriert werden: So können etwa unter einer Prozessgrafik alle DSGVO-Attribute auf Diagrammebene dargestellt werden. Alle Informationen lassen sich zur besseren Übersicht auch auf Diagramm- und Elementebene aufschlüsseln.

Nachdem ein solches Template erstmals definiert wurde, können daraus druck- und archivierbare Dokumentationen in verschiedenen Formaten erzeugt werden. Anhand dieser Dokumentationen kann die ACME AG ihre DSGVO-Compliance nachweisen.

Fazit

Die ACME AG hat sich in vier Schritten erfolgreich auf den 25. Mai 2018 vorbereitet. Für genauere Informationen zu diesen einzelnen Schritten empfehlen wir Ihnen unsere Webinaraufzeichnung Countdown zur EU-DSGVO – Datenschutz und Compliance in der Praxis. Wir wünschen Ihnen viel Erfolg für den Compliance-Countdown!

Hinweis: Dieser Inhalt stellt eine unverbindliche Information dar und ersetzt keinesfalls eine Rechtsberatung.

Veröffentlicht am: 3. Mai 2018 - Letzte Änderung am: 30. Mai 2018