Inhaltsverzeichnis Checkliste für Datenschutzmanagement-Software:
1. Ziele festlegen
Mache Dir bereits im Vorfeld folgende Punkte klar: Warum möchtest du eine Datenschutzmanagement-Software einführen? Worauf liegt dein Fokus? Willst du die Qualität der Dokumentation steigern oder vielleicht die Zusammenarbeit mit Fachbereichen verbessern? Oder zielt dein Unternehmen auf Prozessautomatisierung ab?
Wenn du diese Frage beantwortet hast, kannst du unsere Checkliste für Datenschutzmanagement-Software noch effektiver nutzen.
Kriterien an den Software-Anbieter
Eine Anbieter Due Diligence gehört zu einer umfassenden Einschätzung einer Software dazu.
2. Kostenlose Demo
Lass dir die Software vorstellen und nimm zukünftige Anwender:innen mit zu dieser Demonstration. Gegebenenfalls sollten auch Vertreter:innen beteiligter Fachbereiche dabei sein. Bei Unklarheiten forderst du am besten eine zweite Demo an, denn: Hat dein Unternehmen eine Datenschutzmanagement-Software erstmal eingeführt, wird es sie so schnell nicht mehr wechseln.
3. Kostenlose Testphase
Probiere das Programm während der kostenlosen Testphase selbst aus und sprich auch dabei mit anderen potenziellen Anwender:innen in deinem Unternehmen. Achte bei der Erprobung darauf, mit Testdaten zu arbeiten und reale Anwendungsszenarien zu simulieren.
Gut zu wissen: Manche Anbieter stellen Testdaten zur Verfügung, um eine belastbare Prüfung zu ermöglichen.
4. Support abklären
Wie bietet der Anbieter Support an, falls Probleme oder Fragen zur Datenschutzmanagement-Software aufkommen? Ist das Unternehmen selbst dafür verantwortlich oder ist der Support an ein Subunternehmen ausgelagert? Ist er telefonisch erreichbar oder ausschließlich per E-Mail?
Wichtig: Die Erreichbarkeit des Supports hängt häufig mit dem gebuchten Paket zusammen.
5. Datenschutzmanagement-Expertise des Anbieters
Die Software leistet bedeutsame Unterstützung für die Datenschutzverantwortlichen in deinem Unternehmen. Daher ist es wichtig, dass der Anbieter über datenschutzrechtliche Expertise verfügt. Darüber hinaus sollte er verstehen, wie Prozesse in deinem Unternehmen ablaufen – vor allem in Bezug auf die Größe deiner Organisation.
6. Standort in der EU
Achte bei der Auswahl darauf, dass das Unternehmen in der EU sitzt und dessen Software explizit für die Anwendung der DSGVO gedacht ist. Sonst steht eine komplexe Anpassung auf europäisches Recht an. Außerdem sollte der Serverstandort ebenfalls in der EU liegen.
7. Geschäftsmodell des Anbieters
Bevor du dich für eine Datenschutzmanagement-Software entscheidest, gilt es herauszufinden, womit der Anbieter sein Geld verdient. Wenn das Geschäftsmodell hauptsächlich daraus besteht, externe Datenschutzbeauftragte zu vermitteln, wird die Software deinen Mitarbeitenden vermutlich kaum Erleichterungen bringen.
In manchen Fällen steigen die Kosten zudem mit der Zahl der Anwender:innen in deinem Unternehmen – damit setzt du negative Anreize weitere Kolleg*innen miteinzubeziehen.
8. Mission des Anbieters
Berücksichtige im Auswahlprozess, ob die mittelfristigen Ziele des Softwareanbieters mit denen deines Unternehmens in Einklang stehen. Die Weiterentwicklung der Software hängt davon ab.
9. Produktportfolio
Ist Datenschutzmanagement der Software-Kern oder nur ein Add-on? Mit der Einführung der DSGVO im Jahr 2018 haben viele Anbieter ihre bestehenden Systeme um Datenschutzmodule erweitert – dies ist mal besser und mal schlechter gelungen ist. Sieh dir am besten genau an, wo das Unternehmen seinen eigenen Unique Selling Point (USP) sieht und ob dieser zu deinen eigenen Zielen passt.
10. Update-Zyklen
Der Update-Zyklus zeigt dir, wie zukunftssicher eine Software gebaut ist. Inkrementelle wöchentliche Updates sind gegenüber quartalsweise stattfindenden zu bevorzugen. Wirf zudem einen Blick zurück: Wie viele neue Funktionen sind im letzten Jahr dazugekommen? Wurde die Datenschutzmanagement-Software regelmäßig an die aktuelle Rechtsprechung angepasst?
11. Referenzen
Im Zuge deiner Auswahl solltest du prüfen, mit welchen Unternehmen ein Anbieter bereits zusammenarbeitet. Haben diese ähnliche Voraussetzungen wie dein Unternehmen? Gegebenenfalls kannst du auch einen Kontakt zu dessen Bestandskunden erfragen, um einen besseren Einblick zu erhalten.
Kernfunktionen einer Datenschutzmanagement-Software
Die folgenden Funktionen sind ein Muss für jede Datenschutzmanagement-Software.
Verzeichnis von Verarbeitungstätigkeiten
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist zwar eine einzelne Funktion. Dahinter verbirgt sich jedoch eine Vielzahl an Anforderungen, die darüber entscheiden, wie qualitativ hochwertig dein Datenschutzmanagementsystem aufgebaut ist.
12. Einfache Übersicht über Verarbeitungstätigkeiten
Ein VVT ist im Wesentlichen eine Liste aller Prozesse, in denen personenbezogene Daten verarbeitet werden. Daher ist es wichtig, dass eine Software einen guten Überblick verschafft und über eine Suchfunktion oder gezielte Filtermöglichkeiten (nach Abteilung, Dienstleister, Status etc.) verfügt.
13. VVT auf Knopfdruck exportieren
Bei einer Behördenanfrage ist es mitunter nötig, das VVT vorzulegen. Ein Export auf Knopfdruck ist daher unerlässlich, am besten im Format PDF oder XLS. Dabei sollten die Mindestanforderungen aus Art. 30 DSGVO umgesetzt sein.
14. Verarbeitungstätigkeiten an andere Bereiche „vererben“
In vielen Unternehmen gibt es Verarbeitungstätigkeiten (VTs), die in mehreren Tochtergesellschaften Anwendung finden. Damit diese nicht mehrfach dokumentiert werden müssen, enthält eine gute Software die Funktion, VTs zu „vererben“ oder zu kopieren und an einem zentralen Punkt zu verwalten. So sparst du dir viel Dokumentationsaufwand.
15. Adaptive Ansicht für unterschiedliche Rollen
Bei Verarbeitungstätigkeiten arbeiten Datenschutzverantwortliche, Process Owner und Fachbereiche zusammen. Um letzteren die Zuarbeit zu vereinfachen, ist es sinnvoll, diesen eine schlankere Ansicht zu bieten. Felder, die Datenschutzwissen voraussetzen (z. B. die Rechtsgrundlage einer VT) benötigen nur Datenschutzexpert:innen – Fachbereiche hingegen nicht.
16. Datei-Upload für Nachweise
Wie sieht die Einwilligungserklärung deines Newsletters aus? Um den Text nachweisen zu können, sollte die Marketing-Abteilung deines Unternehmens einen Screenshot in der Datenschutzmanagement-Software hinterlegen können.
17. Freigabeprozess
Verarbeitungstätigkeiten haben in der Regel verschiedene Status („in Bearbeitung“, „in Überprüfung“, „Freigegeben“). Das sollte auch die Software abbilden und einen Freigabeprozess abhängig von der Benutzerrolle ermöglichen. Dazu gehört auch, dass die Fachabteilungen während der Prüfung durch den oder die Datenschutzverantwortliche:n keine Änderungen mehr vornehmen dürfen – so wird Verwirrungen entgegengewirkt.
18. Vollständigkeitskontrolle
Wenn Fachabteilungen Informationen für eine VT beisteuern, sollten diese vollständig sein, um unnötige Feedbackschleifen zu vermeiden. Eine gute Software leistet das mithilfe einer Vollständigkeitskontrolle, die die Vorlage zur Überprüfung an Datenschutzexpert:innen nur zulässt, wenn alle erforderlichen Felder ausgefüllt wurden.
19. Adaptive Felder bei der Angabe der Rechtsgrundlage
Jede Datenverarbeitung benötigt eine Rechtsgrundlage. Von dieser hängt ab, welche Zusatzangaben erforderlich sind. Deine Datenschutz-Software sollte daher über ein Drop-down-Menü verfügen, das erweiterbar ist und die auszufüllenden Zusatzangaben benennt. Darüber hinaus ist es praktisch, wenn bestimmte Rechtsgrundlagen nur bestimmten Unternehmensbereichen zugeordnet werden.
Ein Beispiel für unterschiedliche Zusatzangaben: Bei Art. 6 Abs. 1 lit a DSGVO (Einwilligung) sollte zusätzlich noch angegeben werden, wie die Einwilligung geholt wird, was darin steht und wie sie nachgewiesen werden kann. Wenn es sich bei der Rechtsgrundlage um einen Vertrag handelt, reicht es aus, diesen zu nennen. Das sind in der Regel die Informationen, die von einer Datenschutzbehörde angefragt werden.
20. Angabe von Datentypen statt Datenkategorien
Die DSGVO möchte zwar Datenkategorien (Beispiel: Stammdaten) im VVT sehen, jedoch sollte in der Datenschutzpraxis – und gerade wenn Auskunft von Fachbereichen einzuholen ist – zuerst über Datentypen gesprochen werden (Beispiel: E-Mail-Adresse). Diese Datentypen müssen in der Verarbeitungstätigkeit angegeben werden. Idealerweise sind diese schon per Drop-down-Menü bereitgestellt und Datenkategorien zugeordnet, damit den Fachbereichen die Auswahl leichter fällt.
Achtung: Häufig fordern Behörden auch Auskunft über Datentypen ein, obwohl diese nicht explizit in der DSGVO genannt werden. Daher ist eine klare Zuordnung von Datentypen zu Datenkategorien wichtig.
21. Vorauswahl von Datentypen nach Personengruppen
In Verarbeitungstätigkeiten ist angegeben, von welcher Personengruppe Daten verarbeitet werden. Um die Bearbeitung zu beschleunigen, filtert eine Software diese Datentypen bereits nach der vorausgewählten Personengruppe.
22. Flexible Zuordnung von externen Empfängern zu einzelnen Datenkategorien
In VVTs werden neben der Datenquelle die Speicherorte und die internen und externen Empfänger angegeben. Wenn in einer VT mehrere Datentypen verarbeitet werden, müssen diese gegebenenfalls unterschiedlichen Empfänger zugeordnet werden. Eine Datenschutzmanagement-Software muss unbedingt in der Lage sein, diese Differenzierung simpel darzustellen, also leicht verständlich und einfach nachzuvollziehen.
23. Unterscheidung zwischen Datenspeicherort und dem externen Empfänger
Beim Einsatz von Software-as-a-Service-Lösungen sind der Datenspeicherort und der externe Empfänger oft identisch – zum Beispiel Sendinblue Newsletter-Tool und Sendinblue GmbH. Eine Differenzierung ist aber notwendig, wenn ein Dienstleister mehrere Produkte anbietet – so wie Atlassian mit Confluence und Jira.
Hinweis: Oft ist Fachabteilungen nicht bewusst, welcher externe Empfänger hinter einer Software steckt. Trotzdem muss dieser dokumentiert werden. Aus diesem Grund ist es besonders hilfreich, wenn er beim Eintragen einer Software automatisch hinzugefügt wird.
24. Gesetzliche Aufbewahrungsfristen sind hinterlegt
In einer guten Datenschutzmanagement-Software sind die gängigen gesetzlichen Aufbewahrungsfristen für unterschiedliche Dokumententypen hinterlegt, sodass diese über ein Drop-down-Menü auswählbar sind und die Speicherdauer sowie der Beginn der Aufbewahrungsfrist automatisch hinterlegt werden. Dadurch sparen Anwender:innen wichtige Zeit, da sie die Fristen nicht erst manuell recherchieren und eintragen müssen. Eine gute Software bietet zudem die Option, mehrere Fristen zu einer VT hinzuzufügen und auch eigene interne Aufbewahrungsfristen einzutragen. Außerdem sollte die längste Frist die kürzeren in der Dokumentation überlagern.
25. VTs sind die Basis des Löschkonzepts
Für die Erstellung eines Löschkonzepts benötigen Datenschützer:innen die Speicherdauer und Löschpraxis pro Verarbeitungstätigkeit. Die Informationen dazu kommen aus den einzelnen VTs, weshalb eine Software bereits strukturiert Löschfristen und -arten einsammeln sollte.
26. Datenflussdiagramm erstellen oder beifügen
Speziell bei komplexen Datenverarbeitungsprozessen dienen Datenflussdiagramme der Veranschaulichung von VTs und somit der Prüfung durch den oder die Datenschutzverantwortliche:n. Das Programm stellt Datenflüsse daher bestenfalls bereits dar. Zumindest sollte es möglich sein, Diagramme bestimmten VTs zuzuordnen.
27. Verarbeitungsspezifische technische und organisatorische Maßnahmen hinzufügen
In der Regel implementieren Unternehmen übergreifende technische und organisatorische Maßnahmen (TOMs), die für alle Verarbeitungstätigkeiten gelten. In der Praxis kommt es aber vor, dass gewisse TOMs nur bei bestimmten VTs zum Einsatz kommen.
Deine Datenschutzmanagement-Software sollte daher in der Lage sein, dieser Anforderung nachzukommen und auch zwischen allgemeinen und verarbeitungsspezifischen Maßnahmen zu unterscheiden.
28. Zuordnung von Risiken bereits im VVT
Risikoabwägung im VVT? Derer bedarf es doch erst in der Datenschutz-Folgenabschätzung (DSFA), könnte man denken. In Unternehmen mit hoher Datenschutzreife und umfassendem Risikomanagement wird jedoch jedem Prozess ein Risiko zugewiesen. Eine Software muss dazu in der Lage sein, auch wenn keine DSFA erstellt wird.
Praktisch: Diese Risiken helfen auch dabei nachzuweisen, ob eine DSFA überhaupt nötig ist.
29. Schwellwertanalyse
Eine Schwellwertanalyse dient dazu, die Notwendigkeit einer DSFA zu ermitteln. Dafür hat sich in der Praxis ein Katalog mit neun Fragen etabliert. Die Datenschutzmanagement-Software muss diese nicht nur anbieten (idealerweise über Ja/Nein-Auswahlfelder), sondern sollte idealerweise auch Hintergrundinformationen und Beispiele liefern, wann eine Frage mit Ja zu beantworten ist.
30. Black- und Whitelists
Bei der Entscheidung für oder gegen eine Datenschutz-Folgenabschätzung haben Aufsichtsbehörden bereits White- und Blacklists herausgegeben. Diese schreiben eine DSFA für bestimmte Prozesse vor. Deine Datenschutzmanagement-Software sollte diese bereitstellen und auf dieser Basis darauf hinweisen, ob ein Prozess auf einer dieser Listen vorkommt.
Achtung: Diese Listen können sich je nach Bundesland unterscheiden. Deshalb haben wir hier alle DSFA-Muss-Listen aus dem nicht-öffentlichen Bereich zusammengefasst.
31. Gezielte Fragen oder Kommentare hinterlassen
VVTs werden im Idealfall gemeinsam von einem oder einer Datenschutzverantwortlichen und einem Fachbereich erstellt. Dabei kommen natürlich gelegentlich Fragen auf. Deine Software sollte feldspezifische Fragen beziehungsweise Kommentare zulassen, um die Zusammenarbeit zu vereinfachen.
32. Versionsverlauf für Nachverfolgbarkeit
Arbeiten mehrere Personen in einer VT zusammen, ist es sinnvoll, den Bearbeitungsverlauf zu erkennen. Die Änderungen müssen daher im Programm nachverfolgbar sein und angezeigt werden können.
33. Versionsverlauf wiederherstellen
Manchmal wird fälschlicherweise eine Angabe in einer VT gelöscht, die später noch gebraucht wird. Dann ist es wichtig, dass die Software auflisten kann, welche Informationen zuvor vorhanden waren. Die Wiederherstellung dieses Status quo ist ein weiteres Plus für ein Programm.
34. Verarbeitungstätigkeit als Workflow darstellen
Fachabteilungen sollen befähigt sein, relevante Informationen zu Prozessen bereitzustellen. Als Best Practice hat es sich erwiesen, dass Anwender:innen nicht mit zu vielen offenen Feldern überfordert werden. Daher ist es sinnvoll, die Teile einer VT aufzuteilen – idealerweise in Form eines Workflows. Eine moderne Datenschutzmanagement-Software spiegelt das wider und belohnt die Anwender:innen dadurch, dass ein Fortschritt in der Arbeit sichtbar wird.
Datenschutz-Folgenabschätzungen
Für besonders risikobehaftete Prozesse müssen Unternehmen nach Art. 35 DSGVO vorab eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Dabei gilt es einige Dinge zu beachten:
35. Direkte Verknüpfung mit dem Verzeichnis von Verarbeitungstätigkeiten
Für die Durchführung und Dokumentation einer DSFA werden in der Regel sämtliche Informationen benötigt, die bereits in der VT dokumentiert wurden. Du sparst dir Doppelarbeit, wenn deine Software beide Funktionen automatisch verknüpft.
36. Freitexteingabe und Funktionen zur Zusammenarbeit
Da eine DSFA eine umfassende Analyse ist, arbeiten dafür gerade in größeren Unternehmen die Rechtsexpert:innen mit Projekt-Teams zusammen. In einer Datenschutzmanagement-Software sollten mehrere Nutzer:innen gleichzeitig auf einen Text zugreifen, gemeinsam daran arbeiten und Kommentare zuweisen können. Kollaboration und Iteration sind hier elementar.
37. Risiken erfassen und bewerten
Im Rahmen der Datenschutz-Folgenabschätzung müssen Risiken erfasst und nach ihrer Eintrittswahrscheinlichkeit sowie der Schadenshöhe bewertet werden. Eine ideale Software verfügt bereits über eine Vorauswahl an Gewährleistungszielen, die den Risiken zugeordnet werden können.
38. Vorauswahl Risiken und TOMs
Deine Software verfügt bestenfalls über die Funktion, im Zuge der Risikoanalyse und Risikobehandlung auf ein zentrales Repertoire von Risiken und den damit verbundenen TOMs zuzugreifen.
39. Einhaltung der Betroffenenrechte dokumentieren
Bei einer DSFA muss sichergestellt werden, dass die Betroffenenrechte eingehalten werden. Die Software sollte diese Rechte und ihre Relevanz ausweisen. Ist diese für bestimmte Betroffenenrechte eher hoch, muss angegeben werden können, mit welchen Maßnahmen sie gewährleistet werden.
40. Exportfunktion zur Konsultation der Aufsichtsbehörde
Wenn hohe Risiken vorliegen, kann eine Konsultation der Aufsichtsbehörde notwendig sein. Dann muss ihr eine DSFA vorgelegt werden. Der Export dieser aus deiner Datenschutzmanagement-Software sollte zwingend möglich sein und das erstellte Dokument die Anschrift und Ansprechpartner:innen des jeweiligen Unternehmens abbilden. Bei Konzerngesellschaften muss dies jeweils für einzelne Tochtergesellschaften anpassbar sein.
Technische und organisatorische Maßnahmen
Technische und organisatorische Maßnahmen (TOMs) sind die nach Art. 32 der Datenschutzgrundverordnung (DSGVO) Maßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten zu garantieren.
41. Auf Vorlagen zugreifen
TOMs dienen dazu, die Risiken der Verarbeitung zu mindern. Ein Programm sollte dich daher durch einen Vorlagenkatalog in die Lage versetzen, geeignete Maßnahmen zu finden.
42. TOMs Gewährleistungszielen zuordnen
Gewährleistungsziele sind Schutzziele, die sich aus den Grundsätzen des Art. 5 DSGVO ableiten. Dazu gehören:
Sicherung der Verfügbarkeit und Wiederherstellbarkeit
Nicht-Verkettbarkeit personenbezogener Verarbeitung von Daten
43. Übersicht über TOMs und deren Status bewahren
Welche TOMs hat deine Organisation bereits eingesetzt? In welchen Prozessen kommen sie genau zum Einsatz? Geplant oder bereits implementiert – was ist der Status einer TOM? Alle diese Fragen müssen auf Knopfdruck ersichtlich sein.
44. TOMs und Risiken verknüpfen
TOMs sind die Antwort auf datenschutzrelevante Risiken. Die Zuordnung, welche TOM welches Risiko mindert, sollte in deiner Software abgebildet werden. Dadurch sparst du dir als Anwender:in wertvolle Zeit, wenn dasselbe Risiko bei einem neuen Prozess auftritt.
Datenschutzverletzungen und -vorfälle
Ein Datenschutzvorfall ist geschehen – was ist nun zu tun? Dieser Prozess sollte in jedem Unternehmen klar sein. Mit den folgenden Funktionen steht dir eine verlässliche Datenschutzmanagement-Software dabei zur Seite.
45. Jede:r Mitarbeitende kann einen Vorfall melden
Bei einem Datenschutzvorfall zählt jede Minute, um Maßnahmen zu ergreifen. Hierbei ist es wichtig, dass Datenschutzkoordinator:innen beziehungsweise Datenschutzbeauftragte (DSBs) schnellstens informiert werden. Deine Software sollte bei der Koordination unterstützen, indem alle Mitarbeitenden Zugriff erhalten und ein einfaches Formular an die Hand bekommen. Daraufhin müssen die zuständigen Personen per E-Mail informiert werden können.
46. Maßnahmen ableiten
Sobald ein Vorfall gemeldet wurde, muss geklärt werden, welche Daten von welchen Personen betroffen sind und mit welchen Auswirkungen zu rechnen ist. Eine gute Software identifiziert die Daten und die betroffenen Personen(gruppen) sowie die Systeme, in denen die Daten hinterlegt sind. Somit gibt das Programm Aufschluss über die zu treffenden Maßnahmen.
47. Entscheidung dokumentieren
Müssen die betroffenen Personen benachrichtigt werden? Handelt es sich um einen meldepflichtigen Vorfall? Eine Software dient dazu, diese Fragen revisionssicher zu dokumentieren.
48. Aufgaben ableiten und nachverfolgen
Bei einem Datenschutzvorfall ergeben sich für Verantwortliche zahlreiche Aufgaben – abhängig davon, ob eine Meldung notwendig ist oder nicht. Deine Datenschutzmanagement-Software sollte das Aufgabenmanagement zentral übernehmen, um Aufgaben zuzuweisen sowie Fristen zu setzen und im Blick behalten zu können.
49. Meldung an eine Behörde mittels Exports
Kommen der Datenschutzbeauftragte und Geschäftsführung zu dem Ergebnis, dass eine Meldung an die Behörde erfolgen muss, hat diese gewisse Informationen zu beinhalten. Die Exportfunktion deiner Software sollte all diese Informationen automatisch enthalten.
Betroffenenanfragen
Für Anfragen von betroffenen Personen benötigt dein Unternehmen standardisierte Prozesse für die unterschiedlichen Anfragearten. Bei der Handhabung dessen kann dich deine Datenschutzmanagement-Software entlasten.
50. Betroffenenanfrage korrekt dokumentieren
Welche Schritte zu unternehmen sind, hängt von der Art der Betroffenenanfrage ab. In der Praxis überwiegen Auskunftsanfragen (nach Art. 15 DSGVO) und Löschanfragen (nach Art. 17 DSGVO). Eine Software muss in der Lage sein, die korrekte Einordnung zu treffen und basierend darauf den Prozess zur Abarbeitung vorzugeben.
51. Integration mit E-Mail-Client oder Customer-Support-Software
In der Regel werden Betroffenenanfragen per E-Mail an Unternehmen übermittelt. Hier bietet es sich je nach Tech-Setup deines Unternehmens an, dass deine Datenschutz-Software eine Anbindung an den E-Mail-Client oder deine Customer-Support-Software möglich macht. Dadurch können Prozesse automatisiert und der manuelle Aufwand reduziert werden.
52. Anfragen via Webformular erhalten
Viele Unternehmen machen es sich und betroffenen Personen einfacher, in dem Sie dedizierte Webformulare zur Übermittlung von Betroffenenanfragen anbieten. Der Vorteil für das Unternehmen: Anfragen werden direkt in der Datenschutzmanagement-Software gebündelt.
53. Anpassbarer Workflow pro Unternehmenseinheit
Insbesondere bei Großunternehmen werden Betroffenenanfragen pro Organisationseinheit erfasst. Eine moderne Datenschutzsoftware unterstützt dabei durch anpassbare Workflows, die je nach Sub-Unternehmen einen individuellen Prozess mit vordefinierten Verantwortlichkeiten auslösen.
54. Überblick über Datenspeicherorte aufzeigen
Gerade bei Löschanfragen ist es wichtig, alle Daten der betroffenen Person unter Berücksichtigung gesetzlicher Aufbewahrungsfristen zu löschen. Deine Datenschutzmanagement-Software muss bei einem gut gepflegten VVT eine Übersicht bieten, in welchen IT-Systemen Daten der Person liegen beziehungswiese liegen könnten.
Löschkonzept
Die Notwendigkeit eines Löschkonzepts erwächst aus Art. 5 und Art. 17 DSGVO. In der Praxis stellt es Unternehmen vor große Herausforderungen.
55. Automatische Übernahme der Angaben aus dem VVT
Ein Löschkonzept legt dar, wer wann welche Daten löschen muss. Demgegenüber stehen die gesetzlichen Aufbewahrungspflichten. All diese Informationen sollten bereits bei der Erstellung einer Verarbeitungstätigkeit dokumentiert werden. Deine Software hat dann im eigentlichen Sinne die simple Aufgabe, diese Daten aggregiert darzustellen.
56. Export des Löschkonzepts für Behördentermine
Datenschutzbehörden sichten bevorzugt Löschkonzepte, da sie demonstrieren, ob dein Unternehmen die Löschpflichten einhält. Der strukturierte Export hierfür muss technisch umsetzbar sein.
57. Löschtermine aufzeigen und nachverfolgen
Das Löschkonzept ist dazu da, deinem Unternehmen darzulegen, wann welche Daten tatsächlich gelöscht werden müssen. Deine Datenschutzmanagement-Software sollte diese Information spezifisch für Bereiche oder IT-Systeme abbilden.
58. Löschprotokollierung ermöglichen
Alle Unternehmen haben nachzuweisen, dass sie ihren Löschpflichten faktisch nachkommen. Dafür werden in der Praxis sogenannte Löschprotokolle eingesetzt. Deine Datenschutz-Software sollte diese erstellen beziehungsweise strukturiert ablegen.
Dienstleistermanagement / Auftragsverarbeitung
Wenn Daten an externe Dienstleister beziehungsweise Geschäftspartner weitergegeben werden, muss zunächst der Datenschutz sichergestellt sein. Die dafür nötige Prüfung ist eine Kernaufgabe von Datenschützer:innen und muss durch eine entsprechende Software befördert werden.
59. Übersichtliche Liste aller Empfänger
Deine Datenschutzmanagement-Software muss Informationen zu den folgenden Fragen bereitstellen: Welche externen Empfänger sind in welchem Bereich eingesetzt? Wurden sie bereits geprüft und vom Datenschutz-Team freigegeben? Von Vorteil sind zudem detaillierte Filtermöglichkeiten sowie eine Exportfunktion.
60. Produkte und Services verwalten
Wie bereits im Absatz zu den Verarbeitungstätigkeiten erwähnt kann es vorkommen, dass ein externer Empfänger mehrere Produkte anbietet. Deine Software sollte daher die Differenzierung zwischen Produkten und externen Empfängern unterstützen.
61. Allgemeine Angaben und vertragliche Vereinbarungen dokumentieren
Grundlegende Angaben zu einem Dienstleister und die getroffenen vertraglichen Vereinbarungen bilden die Basis der datenschutzrechtlichen Prüfung. Ein optimales Datenschutz-Programm befähigt die Fachbereiche in deinem Unternehmen dazu, diese allgemeinen Angaben zu machen und Verträge beziehungsweise Vertragsvorlagen zu hinterlegen. So kann dein Datenschutz-Team die Beauftragung des Dienstleisters genehmigen.
62. Unterstützung bei der Compliance-Prüfung von externen Empfängern
Die datenschutzrechtliche Prüfung eines Dienstleisters und vornehmlich die Prüfung des Auftragsverarbeitungsvertrags (AVV) ist eine der zentralen Aufgaben des Datenschutz-Teams in Unternehmen. Die nötigen Prüfschritte unterscheiden sich jedoch dahingehend, um welches Vertragsverhältnis (z. B. AVV vs. Joint Controller) es sich handelt oder wo der Ort der Datenverarbeitung (z. B. Deutschland vs. USA) liegt. Eine Datenschutz-Software muss adaptiv auf die Eingaben reagieren und Anwender:innen den korrekten Prüf-Workflow an die Hand geben, bis es zur Freigabe des externen Empfängers kommen kann.
63. Kommunikation mit Fachbereichen ermöglichen
Fachbereiche bilden für das Datenschutz-Team die Schnittstelle zum externen Empfänger. Wenn also weitere Informationen benötigt werden, muss das Team dies mit den Bereichen abstimmen können. Zu diesem Zweck sollte eine Datenschutz-Software über eine feldspezifische Aufgaben- oder Kommentarfunktion verfügen.
64. Kommunikation mit dem externen Empfänger möglich machen
Werden bei deinem Unternehmen viele externe Empfänger angebunden, kann es effizienter sein, dass diese die notwendigen Informationen selbstständig bereitstellen. Dazu kommen adaptive Fragebögen zur Anwendung, die du mittels der Software an die externen Empfänger schickst.
65. Ausfüllhilfe und Vorlage von bereits geprüften externen Empfängern
Es ist sehr wahrscheinlich, dass dein Unternehmen nicht das erste ist, das Anwendungen wie beispielsweise Microsoft und MS Teams einsetzt und datenschutzrechtlich prüft. Und obwohl eine solche Prüfung nicht pauschal erfolgen kann, ist es durch moderne Software doch realisierbar, auf bewährte Vorlagen zurückzugreifen und dadurch Zeit zu sparen. Manche Anbieter von Datenschutz-Software können deinem Unternehmen daher Listen von bereits geprüften externen Dienstleistern an die Hand geben.
66. Darstellung, in welchen Prozessen ein externer Empfänger eingebunden ist
Deine Software muss eine Verknüpfung zwischen dem externen Empfänger und der Verarbeitungstätigkeit darstellen. Es muss klar ersichtlich sein, in welchem Prozess der Dienstleister eingesetzt wird.
Dokumentenablage
Eine DSMS-Software dient als Single Source of Truth. Idealerweise legt dein Unternehmen alle datenschutzrelevanten Dokumente hier ab beziehungsweise nutzt Verlinkungen zu deinem Datenschutzmanagementsystem.
67. Dokumentencenter
Datenschutzhinweise und -richtlinien werden in der Regel mit Office-Anwendungen erstellt. Eine Datenschutz-Software sollte diese Dokumente zentral sammeln und kategorisieren.
68. Einwilligungsverzeichnis beziehungsweise -management
Organisationen, die in großem Umfang Einwilligungen zur Datenverarbeitung einholen, hilft eine Software mit einem zentralen Einwilligungsmanagement. Hierbei können die Dokumente einzelnen Organisationseinheiten zugeordnet werden.
Neben den Kernfunktionen gibt es diverse Management-Funktionen, über die eine gute DSMS-Software verfügt.
KPI-Messung und Reporting
Um Datenschutzmanagement-Systeme zu verbessern, müssen sie mittels KPIs messbar gemacht werden.
69. Übersichtliches Dashboard mit Filterfunktion
Obwohl es beim Datenschutz auf Details ankommt, benötigt das Datenschutz-Team deines Unternehmens Kennzahlen für die Kommunikation mit dem C-Level. Die DSMS-Software assistiert mit verständlichen Dashboards praktikabel dabei, Änderungen wichtiger KPIs zu messen. So kann beispielsweise die Anzahl der gemeldeten Datenschutzverletzungen je Unternehmensbereich Aufschluss darüber geben, wie hoch die Datenschutz-Awareness im direkten Vergleich ist.
70. Aktivitäten nachverfolgen (für externe DSBs)
Gerade beim Einsatz externer Datenschutzbeauftragter hilft eine Software beim Aufgabentracking. Dadurch kann der Mandant direkt im Programm nachvollziehen, welchen Tätigkeiten der oder die Datenschutzbeauftragte nachgegangen ist und am Ende des Monats abgerechnet hat. Für interne Datenschutz-Teams ist diese Funktion in der Regel nicht relevant.
71. Jahresbericht erstellen
Am Jahresende weisen externe Datenschutzbeauftragte ihren Mandanten im Zuge eines Jahresberichts aus, welche Maßnahmen sie hinsichtlich des Datenschutzes vorgenommen haben. Eine DSMS-Software liefert dafür passende Vorlagen oder erstellt den mandantenspezifischen Bericht durch einen strukturierten Export automatisch. Auch diese Funktion ist für interne DSBs üblicherweise ohne Relevanz.
Auditierung
Im Sinne der regelmäßigen Prüfung des Datenschutzmanagements führen Unternehmen interne Audits durch. Dabei werden entweder Fachbereiche oder gesamte Gesellschaften geprüft. Eine gute DSMS-Software leistet dafür wertvolle Dienste.
72. Audit-Vorlagen bereitstellen
Allgemeine Datenschutz-Audits verschaffen einen Überblick über den Status quo in deinem Unternehmen. Dazu wird der Stand der Dokumentation überprüft, wofür die Software eine Audit-Vorlage bereitstellen kann. Das Gleiche gilt für fachbereichsspezifische Audits, zum Beispiel im HR-Bereich.
73. Audit-Fragenkatalog erstellen
Für diese Funktion sind verschiedene Komponenten und Fragearten sinnvoll (z. B. Checkbox, Multiple- oder Single-Choice, Texteingabe). Manche Programme funktionieren auch mit einer Wenn-dann-Logik, bei der Fragen übersprungen werden können.
74. Fragenkataloge verschicken
Durch entsprechende Zuweisung sollten Verantwortliche von Fachbereichen Fragenkataloge versenden können. Dazu müssen diese automatisiert benachrichtigt und erinnert werden. Ihnen muss zudem die Option gegeben sein, die Fragen durch Selbsteingabe zu beantworten.
75. Interview-Modus
Viele Audits werden in einem persönlichen Meeting von einem oder einer Auditor:in durchgeführt. Eine nützliche DSMS-Software ist der prüfenden Person dienlich dabei, ihre Notizen strukturiert festzuhalten.
76. Audit-Report erstellen
Ein Audit-Report spiegelt den Umfang und die Findings eines Datenschutz-Audits wider. Gute Datenschutzmanagement-Programme fertigen diesen Report automatisiert an. Das Word-Format eignet sich dafür besonders gut, weil es gegebenenfalls Änderungen durch den oder die Auditor:in zulässt, wie etwa das Hinzufügen von Stempel und Unterschrift. Zu Beginn des Reports sollte eine Management Summary die wichtigsten Erkenntnisse zusammenfassen.
77. Audit-Findings in Aufgaben umwandeln und monitoren
Die während des Audits gefundenen Verbesserungspotenziale stellen gleichzeitig Aufgaben dar. Eine DSMS-Software sollte in der Lage sein, Audit-Findings durch ein Aufgabenmanagement direkt Personen zuzuweisen und ihre Umsetzung zu nachzuverfolgen.
Gut zu wissen: Die Priorisierung und Fristsetzung obliegen in der Regel dem oder der Auditor:in.
Die
Best-Practices beim Datenschutz-Audit haben wir in einem separaten Artikel behandelt.
Zusammenarbeit
Eine DSMS-Software wird häufig als Expert:innen-Tool angesehen. Das liegt jedoch vor allem daran, dass viele Angebote in ihrem Aufbau nicht für „Laien“ gemacht sind. Um Datenschutz in deinem Unternehmen effektiv umzusetzen, müssen alle Parteien zusammenarbeiten.
78. Aufgaben erstellen, zuweisen und nachverfolgen
Datenschutzmanagement hat viel mit Projektmanagement zu tun. Das heißt, Aufgaben und Verantwortlichkeiten müssen klar verteilt werden. Daher muss eine Datenschutz-Software klassische Task-Management-Funktionen besitzen. Wichtig sind im Speziellen Informationen darüber, welche Aufgaben Datenschutz-Expert:innen anderen Mitarbeitenden übertragen haben und welche Fristen zeitnah ablaufen werden.
79. Benachrichtigungen erhalten
Werden einer Person Aufgaben zugewiesen, ist es wichtig, dass sie darüber informiert wird. Dies kann über eine Anzeigefunktion in der Software oder per E-Mail geschehen. Eine Integration des Programms in Kommunikationssoftware wie Slack oder Microsoft Teams ist von Vorteil.
80. Wiederkehrende Aufgaben oder Wiedervorlage
Beim Datenschutzmanagement sind regelmäßig dieselben Tätigkeiten durchzuführen. So sollten etwa die Verarbeitungstätigkeiten alle sechs bis zwölf Monate auf Aktualität überprüft werden. Dafür können in manch einer Datenschutzsoftware wiederkehrende Aufgaben – oft auch Wiedervorlagen genannt – erstellt werden.
Rollen-, Benutzer:innen- und Organisationsverwaltung
Stelle sicher, dass die Abläufe und Verantwortlichkeiten deiner Organisation in der Datenschutzmanagement-Software abbildbar sind.
81. Leichtes Hinzufügen von Benutzer:innen
Im Laufe deiner Arbeit wirst du sicher mehrfach neue Benutzer:innen hinzufügen. Das sollte möglichst unkompliziert funktionieren, z. B. via E-Mail-Adresse. Um eine große Anzahl an Nutzenden einzuladen, sollte die Software eine „Batch“-Funktion besitzen. Noch besser ist die Möglichkeit zur Anbindung an eine bestehende Single-Sign-On-Lösung (SSO).
82. Benutzer:innenrollen flexibel festlegen
Ein:e Datenschutzbeauftragte:r nutzt die DSMS-Software in einem anderen Ausmaß als ein Fachbereich. Diese Unterschiede werden durch Nutzer:innenrollen abgedeckt. Stelle sicher, dass jene Nutzerrollen verfügbar sind, die du in deiner Organisation benötigst. Idealerweise können Berechtigungen flexibel festgelegt werden.
83. Organisationsstruktur einpflegen
Die Organisationsstruktur bildet die Basis des Datenschutzmanagements. Versuche daher sicherzustellen, dass sowohl juristische Personen als auch Abteilungen und Teams in der Software hinterlegt werden können.
84. Konzern- und Mandantenfähigkeit
Manche Programme bieten die Möglichkeit, Konzernunternehmen beziehungsweise die Konzernstruktur darzustellen. Externen DSBs steht die Funktion zur Verfügung, über einen Account mehrere Mandanten in einer Software zu verwalten.
Benutzerfreundlichkeit der Software
Welche Funktionen erlauben es Anwender:innen, besser mit einer DSMS-Software zu arbeiten? Nutzer:innenfreundlichkeit heißt im Datenschutz, auf die bestehende Expertise der einzelnen Anwender:innen einzugehen.
85. Adaptives User Interface
Durch ein adaptives User Interface sehen Anwender:innen abhängig von ihrer Rolle unterschiedliche Felder. Denn in einer Datenschutz-Software haben die meisten andere Anforderungen und Aufgaben. Nutzer:innen aus den Fachbereichen etwa müssen nicht wissen, um welche Rechtsgrundlage es sich konkret handelt. Eine benutzer:innenfreundliche DSMS-Software passt sich zielführend ihren Anwender:innen an.
86. Erklärtexte, Handlungsempfehlungen und Beispiele
Die Sprache der Datenschutzexpert:innen stellt Fachbereiche häufig vor Herausforderungen. Was sind Beispiele für den Zweck der Datenverarbeitung? Wer ist ein interner Empfänger? Die ideale Datenschutz-Software klärt Fragen proaktiv durch einfache Erklärtexte und Beispiele, sodass der Erklärungsaufwand nicht bei den Expert:innen liegt.
87. Hinweise zu aktuellen Datenschutzthemen erhalten
Seit dem 27.12.2022 gelten die alten Standardvertragsklauseln (Standard Contractual Clauses, kurz SCCs) nicht mehr. Externe Empfänger müssen seitdem mit neuen SCCs vertraglich verpflichtet worden sein. Das ist nur ein Beispiel einer datenschutzrechtlichen Frist, die deine Software anzeigen soll.
88. Sprachliche Anpassungsfähigkeit
Insbesondere bei international agierenden Unternehmen ist Mehrsprachigkeit gefragt – auch bei der Datenschutzsoftware. Idealerweise übersetzt das Programm die Eingaben der Anwender:innen automatisch.
Weitere wichtige Faktoren
Der Wert einer Software ist mehr als die Summe Ihrer Funktionen. Folgend haben wir weitere essentielle Kriterien zusammengestellt, die auch beachtet werden müssen.
Anmeldeverfahren, Schnittstellen und Sicherheit
In der Datenschutzmanagement-Software liegen viele vertrauliche Daten deines Unternehmens ab. Vergewissere dich daher, dass die Autorisierung und Authentifizierung von Nutzenden den höchsten Sicherheitsstandards entsprechen.
89. Single Sign-on
Anmeldungen mit Single Sign-on (SSO) sorgen dafür, dass nur Anwender:innen deines Unternehmens Zugriff auf die Datenschutz-Software erhalten. Im Enterprise Segment ist zudem die Anbindung an eine Active Directory (AD) sinnvoll.
90. Zwei-Faktor-Authentifizierung (2FA)
Die 2FA zählt in vielen Tools schon zum Standard. Auch bei der Datenschutz-Software deines Unternehmens solltest du darauf achten, dass die 2FA verfügbar ist – immerhin befinden sich in der Software vertrauliche Informationen.
Gut zu wissen: Eine Zwei-Faktor-Authentifizierung kann durch Einmal-Codes per SMS, E-Mail oder auch durch Authenticator-Apps erreicht werden.
91. Schnittstellen (APIs)
Möchtest du andere Tools – beispielsweise für das Prozessmanagement oder Contractmanagement – mit deinem Datenschutzmanagementsystem verknüpfen, muss es dafür passende Schnittstellen geben, die sogenannten Application Programming Interfaces (APIs).
92. Cloud vs. On-Premise
Bei wenigen Themen zur Sicherheit von Applikationen scheiden sich die Geister, wie in der Frage: “Hosting On-Premise oder in der Cloud?” In der Regel hat dein Unternehmen dazu bereits eine klare Meinung, die du deinem potentiellen Softwareanbieter weitergeben kannst.
Onboarding und Setup
Eine Datenschutz-Software kann durch diverse Funktionen ihr Onboarding erleichtern.
93. Import der bestehenden Dokumentation
Mit dieser Lösung fängst du nicht bei null an, sondern kannst bestehende Dokumente einfach importieren lassen. Gerade bei großen Datenbeständen sparst du deinem Unternehmen einen großen Kostenfaktor, wenn dies nicht händisch erledigt werden muss.
94. Bereitstellung von Vorlagen
Organisationen mit relativ geringer Erfahrung im Datenschutz profitieren von Templates beispielsweise für VTs, TOMs, Risiken und mehr.
Hinweis: Wie die Bezeichnung “Vorlage“ schon sagt, dienen diese in der Regel nur als Vorlagen und müssen von Unternehmen noch an die eigenen Besonderheiten angepasst werden.
95. Schulungskonzept
Bedenke bei der Wahl deiner Software, wie du und deine Kolleg:innen in die Software eingeführt werden. Prüfe, ob das Angebot deinen Anforderungen genügt: Handelt es sich um persönliche Schulungen für Administrator:innen und Fachabteilungen, allgemeine Webinare beziehungsweise Schulungsvideos oder gibt es ein Handbuch?
96. Implementierungsaufwand und -unterstützung
Wie lange dauert die Einführung und Anpassung der Software? Und wie unterstützt dich der Anbieter bei der Implementierung? Ein Projektplan schlüsselt auf, welche Verantwortlichkeiten und Abhängigkeiten bestehen.
Preisgestaltung
Die Einführung einer DSMS-Software ist natürlich auch eine finanzielle Entscheidung und die Preisgestaltung variiert zwischen den verschiedenen Anbietern. Folgende Bestandteile solltest du daher vorab klären.
97. Was wird genau bepreist?
Gerade bei SaaS-Anbietern ist es üblich, monatlich die „Nutzung“ einer Software zu bepreisen. Dabei kann es sich um die Anzahl der Nutzer:innen, der Dokumente oder der gemanagten Unternehmen handeln. Um Planungssicherheit zu erlangen, solltest du die Variablen im Detail verstehen und eine Total Cost of Ownership Kalkulation durchführen.
98. Kosten und Dauer von individuellen Anpassungen
Der Aufwand für die Anpassung der Software an deine Organisation hängt vom Anbieter und den Anforderungen deines Unternehmens ab. Kläre deshalb frühzeitig, wer sie durchführt und ob dafür Kosten anfallen.
Weitergehende Lösungen
Diese Lösungen gehören nicht zum Kernbereich einer Datenschutzmanagement-Software, werden aber von manchen Anbietern als Add-On bereitgestellt. Oft gibt es hierfür aber Spezialanbieter.
99. Datenschutzerklärung erstellen und verwalten
Wenn dein VVT stets penibel gepflegt ist, nutzen dir die Informationen bei der Erstellung deiner Datenschutzerklärung. Eine DSMS-Software hilft mitunter ebenso beim Verfassen von Datenschutzhinweisen nach Art. 13 DSGVO oder zumindest ihrer Verwaltung.
100. Cookie-Banner / Consent Management
Jede Website braucht einen Cookie-Banner, sobald neben den technisch notwendigen noch weitere Cookies zum Einsatz kommen. In der Regel gibt es dafür Spezialanbieter. Jedoch kann eine Datenschutzmanagement-Software die Einstellungen und Texte des Cookie-Banners dokumentieren.
101. Cookie-Prüfung der Webseite
Unternehmen sollten regelmäßig die Cookie-Einstellungen auf allen URLs der eigenen Webseite prüfen. Denn schließlich reicht schon eine falsche Einstellung auf einer einzelnen Seite aus, um datenschutzrechtliche Probleme zu bekommen. Ein automatisierter Website-Cookie-Check bringt hier Abhilfe.
102. Datenschutz-Schulungen für Mitarbeitende
Diese Funktion überzeugt hauptsächlich, wenn es sich um interaktive Schulungen handelt und nicht um Frontalvorträge. Außerdem ist eine Einbindung in das eigene Learning Management System (LMS) von Vorteil. Am Ende sollten die Mitarbeitenden ein Zertifikat erhalten.
103. Online-Rechtsbibliothek
Manche Softwareanbieter liefern einen Zugang zu aktueller Fachliteratur und Primärcontent gleich mit. Dies ist ausgesprochen förderlich für Datenschutz-Expert:innen. Sinnvoll ist zudem die Einbindung in den Workflow einer DSMS-Software.
Fazit: Es gibt viel zu beachten
Wenn du die optimale Datenschutzmanagement-Software für dein Unternehmen suchst, musst du einiges beachten. Trotzdem lohnt sich der Aufwand, da eine professionelle Datenschutzlösung wie
caralegal deinem Unternehmen in vielfacher Hinsicht weiterhilft.
Welche der 101 Kriterien für dein Unternehmen am wichtigsten sind, hängt nicht nur von der Unternehmensgröße ab, sondern vor allem von dem Datenschutzreifegrad der gesamten Datenschutzorganisation.
Anhaltspunkte für deine Suche kann dir hoffentlich diese ausführliche Checkliste für Datenschutzmanagement-Software bieten.
Falls du bei deiner Suche weitere Fragen hast,
beraten dich unsere Datenschutzsoftware-Experten gerne persönlich und unverbindlich.