“Ein verantwortungsvoller Umgang mit Daten muss die Norm werden. Mit unseren Lösungen befähigen wir Unternehmen schon heute dazu.”
Kathrin Schürmann
Geschäftsführerin caralegal GmbH
Immer mehr Datenschutzverantwortliche bemerken, dass MS Office-Anwendungen wie Excel und Word nicht für ein professionelles Datenschutzmanagement geeignet sind und suchen nach Alternativen.
Die Einführung einer passenden Datenschutzmanagement-Software ist die logische Konsequenz. Doch zuvor stellt sich die Frage, was das Programm konkret leisten soll beziehungsweise muss.
Deshalb haben wir 101 Kriterien in einer übersichtlichen Checkliste zusammengestellt. Die Liste zeigt dir, was eine Datenschutzmanagement-Software alles leisten sollte, um Datenschutz-Expert:innen eine echte Arbeitserleichterung zu verschaffen.
Die folgende Checkliste soll dir helfen, eine für dein Unternehmen passende Datenschutzmanagement-Software zu finden.
Inhaltsverzeichnis Checkliste für Datenschutzmanagement-Software:
Mache Dir bereits im Vorfeld folgende Punkte klar: Warum möchtest du eine Datenschutzmanagement-Software einführen? Worauf liegt dein Fokus? Willst du die Qualität der Dokumentation steigern oder vielleicht die Zusammenarbeit mit Fachbereichen verbessern? Oder zielt dein Unternehmen auf Prozessautomatisierung ab?
Wenn du diese Frage beantwortet hast, kannst du unsere Checkliste für Datenschutzmanagement-Software noch effektiver nutzen.
Eine Anbieter Due Diligence gehört zu einer umfassenden Einschätzung einer Software dazu.
Lass dir die Software vorstellen und nimm zukünftige Anwender:innen mit zu dieser Demonstration. Gegebenenfalls sollten auch Vertreter:innen beteiligter Fachbereiche dabei sein. Bei Unklarheiten forderst du am besten eine zweite Demo an, denn: Hat dein Unternehmen eine Datenschutzmanagement-Software erstmal eingeführt, wird es sie so schnell nicht mehr wechseln.
Probiere das Programm während der kostenlosen Testphase selbst aus und sprich auch dabei mit anderen potenziellen Anwender:innen in deinem Unternehmen. Achte bei der Erprobung darauf, mit Testdaten zu arbeiten und reale Anwendungsszenarien zu simulieren.
Gut zu wissen: Manche Anbieter stellen Testdaten zur Verfügung, um eine belastbare Prüfung zu ermöglichen.
Wie bietet der Anbieter Support an, falls Probleme oder Fragen zur Datenschutzmanagement-Software aufkommen? Ist das Unternehmen selbst dafür verantwortlich oder ist der Support an ein Subunternehmen ausgelagert? Ist er telefonisch erreichbar oder ausschließlich per E-Mail?
Wichtig: Die Erreichbarkeit des Supports hängt häufig mit dem gebuchten Paket zusammen.
Die Software leistet bedeutsame Unterstützung für die Datenschutzverantwortlichen in deinem Unternehmen. Daher ist es wichtig, dass der Anbieter über datenschutzrechtliche Expertise verfügt. Darüber hinaus sollte er verstehen, wie Prozesse in deinem Unternehmen ablaufen – vor allem in Bezug auf die Größe deiner Organisation.
Achte bei der Auswahl darauf, dass das Unternehmen in der EU sitzt und dessen Software explizit für die Anwendung der DSGVO gedacht ist. Sonst steht eine komplexe Anpassung auf europäisches Recht an. Außerdem sollte der Serverstandort ebenfalls in der EU liegen.
Bevor du dich für eine Datenschutzmanagement-Software entscheidest, gilt es herauszufinden, womit der Anbieter sein Geld verdient. Wenn das Geschäftsmodell hauptsächlich daraus besteht, externe Datenschutzbeauftragte zu vermitteln, wird die Software deinen Mitarbeitenden vermutlich kaum Erleichterungen bringen.
In manchen Fällen steigen die Kosten zudem mit der Zahl der Anwender:innen in deinem Unternehmen – damit setzt du negative Anreize weitere Kolleg*innen miteinzubeziehen.
Berücksichtige im Auswahlprozess, ob die mittelfristigen Ziele des Softwareanbieters mit denen deines Unternehmens in Einklang stehen. Die Weiterentwicklung der Software hängt davon ab.
Ist Datenschutzmanagement der Software-Kern oder nur ein Add-on? Mit der Einführung der DSGVO im Jahr 2018 haben viele Anbieter ihre bestehenden Systeme um Datenschutzmodule erweitert – dies ist mal besser und mal schlechter gelungen ist. Sieh dir am besten genau an, wo das Unternehmen seinen eigenen Unique Selling Point (USP) sieht und ob dieser zu deinen eigenen Zielen passt.
Der Update-Zyklus zeigt dir, wie zukunftssicher eine Software gebaut ist. Inkrementelle wöchentliche Updates sind gegenüber quartalsweise stattfindenden zu bevorzugen. Wirf zudem einen Blick zurück: Wie viele neue Funktionen sind im letzten Jahr dazugekommen? Wurde die Datenschutzmanagement-Software regelmäßig an die aktuelle Rechtsprechung angepasst?
Im Zuge deiner Auswahl solltest du prüfen, mit welchen Unternehmen ein Anbieter bereits zusammenarbeitet. Haben diese ähnliche Voraussetzungen wie dein Unternehmen? Gegebenenfalls kannst du auch einen Kontakt zu dessen Bestandskunden erfragen, um einen besseren Einblick zu erhalten.
Die folgenden Funktionen sind ein Muss für jede Datenschutzmanagement-Software.
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist zwar eine einzelne Funktion. Dahinter verbirgt sich jedoch eine Vielzahl an Anforderungen, die darüber entscheiden, wie qualitativ hochwertig dein Datenschutzmanagementsystem aufgebaut ist.
Ein VVT ist im Wesentlichen eine Liste aller Prozesse, in denen personenbezogene Daten verarbeitet werden. Daher ist es wichtig, dass eine Software einen guten Überblick verschafft und über eine Suchfunktion oder gezielte Filtermöglichkeiten (nach Abteilung, Dienstleister, Status etc.) verfügt.
Bei einer Behördenanfrage ist es mitunter nötig, das VVT vorzulegen. Ein Export auf Knopfdruck ist daher unerlässlich, am besten im Format PDF oder XLS. Dabei sollten die Mindestanforderungen aus Art. 30 DSGVO umgesetzt sein.
In vielen Unternehmen gibt es Verarbeitungstätigkeiten (VTs), die in mehreren Tochtergesellschaften Anwendung finden. Damit diese nicht mehrfach dokumentiert werden müssen, enthält eine gute Software die Funktion, VTs zu „vererben“ oder zu kopieren und an einem zentralen Punkt zu verwalten. So sparst du dir viel Dokumentationsaufwand.
Bei Verarbeitungstätigkeiten arbeiten Datenschutzverantwortliche, Process Owner und Fachbereiche zusammen. Um letzteren die Zuarbeit zu vereinfachen, ist es sinnvoll, diesen eine schlankere Ansicht zu bieten. Felder, die Datenschutzwissen voraussetzen (z. B. die Rechtsgrundlage einer VT) benötigen nur Datenschutzexpert:innen – Fachbereiche hingegen nicht.
Wie sieht die Einwilligungserklärung deines Newsletters aus? Um den Text nachweisen zu können, sollte die Marketing-Abteilung deines Unternehmens einen Screenshot in der Datenschutzmanagement-Software hinterlegen können.
Verarbeitungstätigkeiten haben in der Regel verschiedene Status („in Bearbeitung“, „in Überprüfung“, „Freigegeben“). Das sollte auch die Software abbilden und einen Freigabeprozess abhängig von der Benutzerrolle ermöglichen. Dazu gehört auch, dass die Fachabteilungen während der Prüfung durch den oder die Datenschutzverantwortliche:n keine Änderungen mehr vornehmen dürfen – so wird Verwirrungen entgegengewirkt.
Wenn Fachabteilungen Informationen für eine VT beisteuern, sollten diese vollständig sein, um unnötige Feedbackschleifen zu vermeiden. Eine gute Software leistet das mithilfe einer Vollständigkeitskontrolle, die die Vorlage zur Überprüfung an Datenschutzexpert:innen nur zulässt, wenn alle erforderlichen Felder ausgefüllt wurden.
Jede Datenverarbeitung benötigt eine Rechtsgrundlage. Von dieser hängt ab, welche Zusatzangaben erforderlich sind. Deine Datenschutz-Software sollte daher über ein Drop-down-Menü verfügen, das erweiterbar ist und die auszufüllenden Zusatzangaben benennt. Darüber hinaus ist es praktisch, wenn bestimmte Rechtsgrundlagen nur bestimmten Unternehmensbereichen zugeordnet werden.
Ein Beispiel für unterschiedliche Zusatzangaben: Bei Art. 6 Abs. 1 lit a DSGVO (Einwilligung) sollte zusätzlich noch angegeben werden, wie die Einwilligung geholt wird, was darin steht und wie sie nachgewiesen werden kann. Wenn es sich bei der Rechtsgrundlage um einen Vertrag handelt, reicht es aus, diesen zu nennen. Das sind in der Regel die Informationen, die von einer Datenschutzbehörde angefragt werden.
Die DSGVO möchte zwar Datenkategorien (Beispiel: Stammdaten) im VVT sehen, jedoch sollte in der Datenschutzpraxis – und gerade wenn Auskunft von Fachbereichen einzuholen ist – zuerst über Datentypen gesprochen werden (Beispiel: E-Mail-Adresse). Diese Datentypen müssen in der Verarbeitungstätigkeit angegeben werden. Idealerweise sind diese schon per Drop-down-Menü bereitgestellt und Datenkategorien zugeordnet, damit den Fachbereichen die Auswahl leichter fällt.
Achtung: Häufig fordern Behörden auch Auskunft über Datentypen ein, obwohl diese nicht explizit in der DSGVO genannt werden. Daher ist eine klare Zuordnung von Datentypen zu Datenkategorien wichtig.
In Verarbeitungstätigkeiten ist angegeben, von welcher Personengruppe Daten verarbeitet werden. Um die Bearbeitung zu beschleunigen, filtert eine Software diese Datentypen bereits nach der vorausgewählten Personengruppe.
In VVTs werden neben der Datenquelle die Speicherorte und die internen und externen Empfänger angegeben. Wenn in einer VT mehrere Datentypen verarbeitet werden, müssen diese gegebenenfalls unterschiedlichen Empfänger zugeordnet werden. Eine Datenschutzmanagement-Software muss unbedingt in der Lage sein, diese Differenzierung simpel darzustellen, also leicht verständlich und einfach nachzuvollziehen.
Beim Einsatz von Software-as-a-Service-Lösungen sind der Datenspeicherort und der externe Empfänger oft identisch – zum Beispiel Sendinblue Newsletter-Tool und Sendinblue GmbH. Eine Differenzierung ist aber notwendig, wenn ein Dienstleister mehrere Produkte anbietet – so wie Atlassian mit Confluence und Jira.
Hinweis: Oft ist Fachabteilungen nicht bewusst, welcher externe Empfänger hinter einer Software steckt. Trotzdem muss dieser dokumentiert werden. Aus diesem Grund ist es besonders hilfreich, wenn er beim Eintragen einer Software automatisch hinzugefügt wird.
In einer guten Datenschutzmanagement-Software sind die gängigen gesetzlichen Aufbewahrungsfristen für unterschiedliche Dokumententypen hinterlegt, sodass diese über ein Drop-down-Menü auswählbar sind und die Speicherdauer sowie der Beginn der Aufbewahrungsfrist automatisch hinterlegt werden. Dadurch sparen Anwender:innen wichtige Zeit, da sie die Fristen nicht erst manuell recherchieren und eintragen müssen. Eine gute Software bietet zudem die Option, mehrere Fristen zu einer VT hinzuzufügen und auch eigene interne Aufbewahrungsfristen einzutragen. Außerdem sollte die längste Frist die kürzeren in der Dokumentation überlagern.
Für die Erstellung eines Löschkonzepts benötigen Datenschützer:innen die Speicherdauer und Löschpraxis pro Verarbeitungstätigkeit. Die Informationen dazu kommen aus den einzelnen VTs, weshalb eine Software bereits strukturiert Löschfristen und -arten einsammeln sollte.
Speziell bei komplexen Datenverarbeitungsprozessen dienen Datenflussdiagramme der Veranschaulichung von VTs und somit der Prüfung durch den oder die Datenschutzverantwortliche:n. Das Programm stellt Datenflüsse daher bestenfalls bereits dar. Zumindest sollte es möglich sein, Diagramme bestimmten VTs zuzuordnen.
In der Regel implementieren Unternehmen übergreifende technische und organisatorische Maßnahmen (TOMs), die für alle Verarbeitungstätigkeiten gelten. In der Praxis kommt es aber vor, dass gewisse TOMs nur bei bestimmten VTs zum Einsatz kommen.
Deine Datenschutzmanagement-Software sollte daher in der Lage sein, dieser Anforderung nachzukommen und auch zwischen allgemeinen und verarbeitungsspezifischen Maßnahmen zu unterscheiden.
Risikoabwägung im VVT? Derer bedarf es doch erst in der Datenschutz-Folgenabschätzung (DSFA), könnte man denken. In Unternehmen mit hoher Datenschutzreife und umfassendem Risikomanagement wird jedoch jedem Prozess ein Risiko zugewiesen. Eine Software muss dazu in der Lage sein, auch wenn keine DSFA erstellt wird.
Praktisch: Diese Risiken helfen auch dabei nachzuweisen, ob eine DSFA überhaupt nötig ist.
Eine Schwellwertanalyse dient dazu, die Notwendigkeit einer DSFA zu ermitteln. Dafür hat sich in der Praxis ein Katalog mit neun Fragen etabliert. Die Datenschutzmanagement-Software muss diese nicht nur anbieten (idealerweise über Ja/Nein-Auswahlfelder), sondern sollte idealerweise auch Hintergrundinformationen und Beispiele liefern, wann eine Frage mit Ja zu beantworten ist.
Bei der Entscheidung für oder gegen eine Datenschutz-Folgenabschätzung haben Aufsichtsbehörden bereits White- und Blacklists herausgegeben. Diese schreiben eine DSFA für bestimmte Prozesse vor. Deine Datenschutzmanagement-Software sollte diese bereitstellen und auf dieser Basis darauf hinweisen, ob ein Prozess auf einer dieser Listen vorkommt.
Achtung: Diese Listen können sich je nach Bundesland unterscheiden. Hier ist die Liste des DSK für den nicht-öffentlichen Bereich, auf die sich mehrere Bundesländer beziehen.
VVTs werden im Idealfall gemeinsam von einem oder einer Datenschutzverantwortlichen und einem Fachbereich erstellt. Dabei kommen natürlich gelegentlich Fragen auf. Deine Software sollte feldspezifische Fragen beziehungsweise Kommentare zulassen, um die Zusammenarbeit zu vereinfachen.
Arbeiten mehrere Personen in einer VT zusammen, ist es sinnvoll, den Bearbeitungsverlauf zu erkennen. Die Änderungen müssen daher im Programm nachverfolgbar sein und angezeigt werden können.
Manchmal wird fälschlicherweise eine Angabe in einer VT gelöscht, die später noch gebraucht wird. Dann ist es wichtig, dass die Software auflisten kann, welche Informationen zuvor vorhanden waren. Die Wiederherstellung dieses Status quo ist ein weiteres Plus für ein Programm.
Fachabteilungen sollen befähigt sein, relevante Informationen zu Prozessen bereitzustellen. Als Best Practice hat es sich erwiesen, dass Anwender:innen nicht mit zu vielen offenen Feldern überfordert werden. Daher ist es sinnvoll, die Teile einer VT aufzuteilen – idealerweise in Form eines Workflows. Eine moderne Datenschutzmanagement-Software spiegelt das wider und belohnt die Anwender:innen dadurch, dass ein Fortschritt in der Arbeit sichtbar wird.
Für besonders risikobehaftete Prozesse müssen Unternehmen nach Art. 35 DSGVO vorab eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Dabei gilt es einige Dinge zu beachten:
Für die Durchführung und Dokumentation einer DSFA werden in der Regel sämtliche Informationen benötigt, die bereits in der VT dokumentiert wurden. Du sparst dir Doppelarbeit, wenn deine Software beide Funktionen automatisch verknüpft.
Da eine DSFA eine umfassende Analyse ist, arbeiten dafür gerade in größeren Unternehmen die Rechtsexpert:innen mit Projekt-Teams zusammen. In einer Datenschutzmanagement-Software sollten mehrere Nutzer:innen gleichzeitig auf einen Text zugreifen, gemeinsam daran arbeiten und Kommentare zuweisen können. Kollaboration und Iteration sind hier elementar.
Im Rahmen der Datenschutz-Folgenabschätzung müssen Risiken erfasst und nach ihrer Eintrittswahrscheinlichkeit sowie der Schadenshöhe bewertet werden. Eine ideale Software verfügt bereits über eine Vorauswahl an Gewährleistungszielen, die den Risiken zugeordnet werden können.
Deine Software verfügt bestenfalls über die Funktion, im Zuge der Risikoanalyse und Risikobehandlung auf ein zentrales Repertoire von Risiken und den damit verbundenen TOMs zuzugreifen.
Bei einer DSFA muss sichergestellt werden, dass die Betroffenenrechte eingehalten werden. Die Software sollte diese Rechte und ihre Relevanz ausweisen. Ist diese für bestimmte Betroffenenrechte eher hoch, muss angegeben werden können, mit welchen Maßnahmen sie gewährleistet werden.
Wenn hohe Risiken vorliegen, kann eine Konsultation der Aufsichtsbehörde notwendig sein. Dann muss ihr eine DSFA vorgelegt werden. Der Export dieser aus deiner Datenschutzmanagement-Software sollte zwingend möglich sein und das erstellte Dokument die Anschrift und Ansprechpartner:innen des jeweiligen Unternehmens abbilden. Bei Konzerngesellschaften muss dies jeweils für einzelne Tochtergesellschaften anpassbar sein.
Technische und organisatorische Maßnahmen (TOMs) sind die nach Art. 32 der Datenschutzgrundverordnung (DSGVO) Maßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten zu garantieren.
TOMs dienen dazu, die Risiken der Verarbeitung zu mindern. Ein Programm sollte dich daher durch einen Vorlagenkatalog in die Lage versetzen, geeignete Maßnahmen zu finden.
Gewährleistungsziele sind Schutzziele, die sich aus den Grundsätzen des Art. 5 DSGVO ableiten. Dazu gehören:
Sicherung der Verfügbarkeit und Wiederherstellbarkeit
Integrität
Vertraulichkeit
Transparenz
Intervenierbarkeit
Nicht-Verkettbarkeit personenbezogener Verarbeitung von Daten
Zu jedem dieser Ziele lassen sich in der Praxis spezifische TOMs zuordnen. Das sollte deine Software automatisiert darstellen.
Welche TOMs hat deine Organisation bereits eingesetzt? In welchen Prozessen kommen sie genau zum Einsatz? Geplant oder bereits implementiert – was ist der Status einer TOM? Alle diese Fragen müssen auf Knopfdruck ersichtlich sein.
TOMs sind die Antwort auf datenschutzrelevante Risiken. Die Zuordnung, welche TOM welches Risiko mindert, sollte in deiner Software abgebildet werden. Dadurch sparst du dir als Anwender:in wertvolle Zeit, wenn dasselbe Risiko bei einem neuen Prozess auftritt.
Ein Datenschutzvorfall ist geschehen – was ist nun zu tun? Dieser Prozess sollte in jedem Unternehmen klar sein. Mit den folgenden Funktionen steht dir eine verlässliche Datenschutzmanagement-Software dabei zur Seite.
Bei einem Datenschutzvorfall zählt jede Minute, um Maßnahmen zu ergreifen. Hierbei ist es wichtig, dass Datenschutzkoordinator:innen beziehungsweise Datenschutzbeauftragte (DSBs) schnellstens informiert werden. Deine Software sollte bei der Koordination unterstützen, indem alle Mitarbeitenden Zugriff erhalten und ein einfaches Formular an die Hand bekommen. Daraufhin müssen die zuständigen Personen per E-Mail informiert werden können.
Sobald ein Vorfall gemeldet wurde, muss geklärt werden, welche Daten von welchen Personen betroffen sind und mit welchen Auswirkungen zu rechnen ist. Eine gute Software identifiziert die Daten und die betroffenen Personen(gruppen) sowie die Systeme, in denen die Daten hinterlegt sind. Somit gibt das Programm Aufschluss über die zu treffenden Maßnahmen.
Müssen die betroffenen Personen benachrichtigt werden? Handelt es sich um einen meldepflichtigen Vorfall? Eine Software dient dazu, diese Fragen revisionssicher zu dokumentieren.
Bei einem Datenschutzvorfall ergeben sich für Verantwortliche zahlreiche Aufgaben – abhängig davon, ob eine Meldung notwendig ist oder nicht. Deine Datenschutzmanagement-Software sollte das Aufgabenmanagement zentral übernehmen, um Aufgaben zuzuweisen sowie Fristen zu setzen und im Blick behalten zu können.
Kommen der Datenschutzbeauftragte und Geschäftsführung zu dem Ergebnis, dass eine Meldung an die Behörde erfolgen muss, hat diese gewisse Informationen zu beinhalten. Die Exportfunktion deiner Software sollte all diese Informationen automatisch enthalten.
Für Anfragen von betroffenen Personen benötigt dein Unternehmen standardisierte Prozesse für die unterschiedlichen Anfragearten. Bei der Handhabung dessen kann dich deine Datenschutzmanagement-Software entlasten.
Welche Schritte zu unternehmen sind, hängt von der Art der Betroffenenanfrage ab. In der Praxis überwiegen Auskunftsanfragen (nach Art. 15 DSGVO) und Löschanfragen (nach Art. 17 DSGVO). Eine Software muss in der Lage sein, die korrekte Einordnung zu treffen und basierend darauf den Prozess zur Abarbeitung vorzugeben.
In der Regel werden Betroffenenanfragen per E-Mail an Unternehmen übermittelt. Hier bietet es sich je nach Tech-Setup deines Unternehmens an, dass deine Datenschutz-Software eine Anbindung an den E-Mail-Client oder deine Customer-Support-Software möglich macht. Dadurch können Prozesse automatisiert und der manuelle Aufwand reduziert werden.
Gerade bei Löschanfragen ist es wichtig, alle Daten der betroffenen Person unter Berücksichtigung gesetzlicher Aufbewahrungsfristen zu löschen. Deine Datenschutzmanagement-Software muss bei einem gut gepflegten VVT eine Übersicht bieten, in welchen IT-Systemen Daten der Person liegen beziehungswiese liegen könnten.
Die Notwendigkeit eines Löschkonzepts erwächst aus Art. 5 und Art. 17 DSGVO. In der Praxis stellt es Unternehmen vor große Herausforderungen.
Ein Löschkonzept legt dar, wer wann welche Daten löschen muss. Demgegenüber stehen die gesetzlichen Aufbewahrungspflichten. All diese Informationen sollten bereits bei der Erstellung einer Verarbeitungstätigkeit dokumentiert werden. Deine Software hat dann im eigentlichen Sinne die simple Aufgabe, diese Daten aggregiert darzustellen.
Datenschutzbehörden sichten bevorzugt Löschkonzepte, da sie demonstrieren, ob dein Unternehmen die Löschpflichten einhält. Der strukturierte Export hierfür muss technisch umsetzbar sein.
Das Löschkonzept ist dazu da, deinem Unternehmen darzulegen, wann welche Daten tatsächlich gelöscht werden müssen. Deine Datenschutzmanagement-Software sollte diese Information spezifisch für Bereiche oder IT-Systeme abbilden.
Alle Unternehmen haben nachzuweisen, dass sie ihren Löschpflichten faktisch nachkommen. Dafür werden in der Praxis sogenannte Löschprotokolle eingesetzt. Deine Datenschutz-Software sollte diese erstellen beziehungsweise strukturiert ablegen.
Wenn Daten an externe Dienstleister beziehungsweise Geschäftspartner weitergegeben werden, muss zunächst der Datenschutz sichergestellt sein. Die dafür nötige Prüfung ist eine Kernaufgabe von Datenschützer:innen und muss durch eine entsprechende Software befördert werden.
Deine Datenschutzmanagement-Software muss Informationen zu den folgenden Fragen bereitstellen: Welche externen Empfänger sind in welchem Bereich eingesetzt? Wurden sie bereits geprüft und vom Datenschutz-Team freigegeben? Von Vorteil sind zudem detaillierte Filtermöglichkeiten sowie eine Exportfunktion.
Wie bereits im Absatz zu den Verarbeitungstätigkeiten erwähnt kann es vorkommen, dass ein externer Empfänger mehrere Produkte anbietet. Deine Software sollte daher die Differenzierung zwischen Produkten und externen Empfängern unterstützen.
Grundlegende Angaben zu einem Dienstleister und die getroffenen vertraglichen Vereinbarungen bilden die Basis der datenschutzrechtlichen Prüfung. Ein optimales Datenschutz-Programm befähigt die Fachbereiche in deinem Unternehmen dazu, diese allgemeinen Angaben zu machen und Verträge beziehungsweise Vertragsvorlagen zu hinterlegen. So kann dein Datenschutz-Team die Beauftragung des Dienstleisters genehmigen.
Die datenschutzrechtliche Prüfung eines Dienstleisters und vornehmlich die Prüfung des Auftragsverarbeitungsvertrags (AVV) ist eine der zentralen Aufgaben des Datenschutz-Teams in Unternehmen. Die nötigen Prüfschritte unterscheiden sich jedoch dahingehend, um welches Vertragsverhältnis (z. B. AVV vs. Joint Controller) es sich handelt oder wo der Ort der Datenverarbeitung (z. B. Deutschland vs. USA) liegt. Eine Datenschutz-Software muss adaptiv auf die Eingaben reagieren und Anwender:innen den korrekten Prüf-Workflow an die Hand geben, bis es zur Freigabe des externen Empfängers kommen kann.
Fachbereiche bilden für das Datenschutz-Team die Schnittstelle zum externen Empfänger. Wenn also weitere Informationen benötigt werden, muss das Team dies mit den Bereichen abstimmen können. Zu diesem Zweck sollte eine Datenschutz-Software über eine feldspezifische Aufgaben- oder Kommentarfunktion verfügen.
Werden bei deinem Unternehmen viele externe Empfänger angebunden, kann es effizienter sein, dass diese die notwendigen Informationen selbstständig bereitstellen. Dazu kommen adaptive Fragebögen zur Anwendung, die du mittels der Software an die externen Empfänger schickst.
Es ist sehr wahrscheinlich, dass dein Unternehmen nicht das erste ist, das Anwendungen wie beispielsweise Microsoft und MS Teams einsetzt und datenschutzrechtlich prüft. Und obwohl eine solche Prüfung nicht pauschal erfolgen kann, ist es durch moderne Software doch realisierbar, auf bewährte Vorlagen zurückzugreifen und dadurch Zeit zu sparen. Manche Anbieter von Datenschutz-Software können deinem Unternehmen daher Listen von bereits geprüften externen Dienstleistern an die Hand geben.
Deine Software muss eine Verknüpfung zwischen dem externen Empfänger und der Verarbeitungstätigkeit darstellen. Es muss klar ersichtlich sein, in welchem Prozess der Dienstleister eingesetzt wird.
Eine DSMS-Software dient als Single Source of Truth. Idealerweise legt dein Unternehmen alle datenschutzrelevanten Dokumente hier ab beziehungsweise nutzt Verlinkungen zu deinem Datenschutzmanagementsystem.
Datenschutzhinweise und -richtlinien werden in der Regel mit Office-Anwendungen erstellt. Eine Datenschutz-Software sollte diese Dokumente zentral sammeln und kategorisieren.
Organisationen, die in großem Umfang Einwilligungen zur Datenverarbeitung einholen, hilft eine Software mit einem zentralen Einwilligungsmanagement. Hierbei können die Dokumente einzelnen Organisationseinheiten zugeordnet werden.
Neben den Kernfunktionen gibt es diverse Management-Funktionen, über die eine gute DSMS-Software verfügt.
Um Datenschutzmanagement-Systeme zu verbessern, müssen sie mittels KPIs messbar gemacht werden.
Obwohl es beim Datenschutz auf Details ankommt, benötigt das Datenschutz-Team deines Unternehmens Kennzahlen für die Kommunikation mit dem C-Level. Die DSMS-Software assistiert mit verständlichen Dashboards praktikabel dabei, Änderungen wichtiger KPIs zu messen. So kann beispielsweise die Anzahl der gemeldeten Datenschutzverletzungen je Unternehmensbereich Aufschluss darüber geben, wie hoch die Datenschutz-Awareness im direkten Vergleich ist.
Gerade beim Einsatz externer Datenschutzbeauftragter hilft eine Software beim Aufgabentracking. Dadurch kann der Mandant direkt im Programm nachvollziehen, welchen Tätigkeiten der oder die Datenschutzbeauftragte nachgegangen ist und am Ende des Monats abgerechnet hat. Für interne Datenschutz-Teams ist diese Funktion in der Regel nicht relevant.
Am Jahresende weisen externe Datenschutzbeauftragte ihren Mandanten im Zuge eines Jahresberichts aus, welche Maßnahmen sie hinsichtlich des Datenschutzes vorgenommen haben. Eine DSMS-Software liefert dafür passende Vorlagen oder erstellt den mandantenspezifischen Bericht durch einen strukturierten Export automatisch. Auch diese Funktion ist für interne DSBs üblicherweise ohne Relevanz.
Im Sinne der regelmäßigen Prüfung des Datenschutzmanagements führen Unternehmen interne Audits durch. Dabei werden entweder Fachbereiche oder gesamte Gesellschaften geprüft. Eine gute DSMS-Software leistet dafür wertvolle Dienste.
Allgemeine Datenschutz-Audits verschaffen einen Überblick über den Status quo in deinem Unternehmen. Dazu wird der Stand der Dokumentation überprüft, wofür die Software eine Audit-Vorlage bereitstellen kann. Das Gleiche gilt für fachbereichsspezifische Audits, zum Beispiel im HR-Bereich.
Für diese Funktion sind verschiedene Komponenten und Fragearten sinnvoll (z. B. Checkbox, Multiple- oder Single-Choice, Texteingabe). Manche Programme funktionieren auch mit einer Wenn-dann-Logik, bei der Fragen übersprungen werden können.
Durch entsprechende Zuweisung sollten Verantwortliche von Fachbereichen Fragenkataloge versenden können. Dazu müssen diese automatisiert benachrichtigt und erinnert werden. Ihnen muss zudem die Option gegeben sein, die Fragen durch Selbsteingabe zu beantworten.
Viele Audits werden in einem persönlichen Meeting von einem oder einer Auditor:in durchgeführt. Eine nützliche DSMS-Software ist der prüfenden Person dienlich dabei, ihre Notizen strukturiert festzuhalten.
Ein Audit-Report spiegelt den Umfang und die Findings eines Datenschutz-Audits wider. Gute Datenschutzmanagement-Programme fertigen diesen Report automatisiert an. Das Word-Format eignet sich dafür besonders gut, weil es gegebenenfalls Änderungen durch den oder die Auditor:in zulässt, wie etwa das Hinzufügen von Stempel und Unterschrift. Zu Beginn des Reports sollte eine Management Summary die wichtigsten Erkenntnisse zusammenfassen.
Die während des Audits gefundenen Verbesserungspotenziale stellen gleichzeitig Aufgaben dar. Eine DSMS-Software sollte in der Lage sein, Audit-Findings durch ein Aufgabenmanagement direkt Personen zuzuweisen und ihre Umsetzung zu nachzuverfolgen.
Gut zu wissen: Die Priorisierung und Fristsetzung obliegen in der Regel dem oder der Auditor:in.
Die Best-Practices beim Datenschutz-Audit haben wir in einem separaten Artikel behandelt.
Eine DSMS-Software wird häufig als Expert:innen-Tool angesehen. Das liegt jedoch vor allem daran, dass viele Angebote in ihrem Aufbau nicht für „Laien“ gemacht sind. Um Datenschutz in deinem Unternehmen effektiv umzusetzen, müssen alle Parteien zusammenarbeiten.
Datenschutzmanagement hat viel mit Projektmanagement zu tun. Das heißt, Aufgaben und Verantwortlichkeiten müssen klar verteilt werden. Daher muss eine Datenschutz-Software klassische Task-Management-Funktionen besitzen. Wichtig sind im Speziellen Informationen darüber, welche Aufgaben Datenschutz-Expert:innen anderen Mitarbeitenden übertragen haben und welche Fristen zeitnah ablaufen werden.
Werden einer Person Aufgaben zugewiesen, ist es wichtig, dass sie darüber informiert wird. Dies kann über eine Anzeigefunktion in der Software oder per E-Mail geschehen. Eine Integration des Programms in Kommunikationssoftware wie Slack oder Microsoft Teams ist von Vorteil.
Beim Datenschutzmanagement sind regelmäßig dieselben Tätigkeiten durchzuführen. So sollten etwa die Verarbeitungstätigkeiten alle sechs bis zwölf Monate auf Aktualität überprüft werden. Dafür können in manch einer Datenschutzsoftware wiederkehrende Aufgaben – oft auch Wiedervorlagen genannt – erstellt werden.
Stelle sicher, dass die Abläufe und Verantwortlichkeiten deiner Organisation in der Datenschutzmanagement-Software abbildbar sind.
Im Laufe deiner Arbeit wirst du sicher mehrfach neue Benutzer:innen hinzufügen. Das sollte möglichst unkompliziert funktionieren, z. B. via E-Mail-Adresse. Um eine große Anzahl an Nutzenden einzuladen, sollte die Software eine „Batch“-Funktion besitzen. Noch besser ist die Möglichkeit zur Anbindung an eine bestehende Single-Sign-On-Lösung (SSO).
Ein:e Datenschutzbeauftragte:r nutzt die DSMS-Software in einem anderen Ausmaß als ein Fachbereich. Diese Unterschiede werden durch Nutzer:innenrollen abgedeckt. Stelle sicher, dass jene Nutzerrollen verfügbar sind, die du in deiner Organisation benötigst. Idealerweise können Berechtigungen flexibel festgelegt werden.
Die Organisationsstruktur bildet die Basis des Datenschutzmanagements. Versuche daher sicherzustellen, dass sowohl juristische Personen als auch Abteilungen und Teams in der Software hinterlegt werden können.
Manche Programme bieten die Möglichkeit, Konzernunternehmen beziehungsweise die Konzernstruktur darzustellen. Externen DSBs steht die Funktion zur Verfügung, über einen Account mehrere Mandanten in einer Software zu verwalten.
Welche Funktionen erlauben es Anwender:innen, besser mit einer DSMS-Software zu arbeiten? Nutzer:innenfreundlichkeit heißt im Datenschutz, auf die bestehende Expertise der einzelnen Anwender:innen einzugehen.
Durch ein adaptives User Interface sehen Anwender:innen abhängig von ihrer Rolle unterschiedliche Felder. Denn in einer Datenschutz-Software haben die meisten andere Anforderungen und Aufgaben. Nutzer:innen aus den Fachbereichen etwa müssen nicht wissen, um welche Rechtsgrundlage es sich konkret handelt. Eine benutzer:innenfreundliche DSMS-Software passt sich zielführend ihren Anwender:innen an.
Die Sprache der Datenschutzexpert:innen stellt Fachbereiche häufig vor Herausforderungen. Was sind Beispiele für den Zweck der Datenverarbeitung? Wer ist ein interner Empfänger? Die ideale Datenschutz-Software klärt Fragen proaktiv durch einfache Erklärtexte und Beispiele, sodass der Erklärungsaufwand nicht bei den Expert:innen liegt.
Seit dem 27.12.2022 gelten die alten Standardvertragsklauseln (Standard Contractual Clauses, kurz SCCs) nicht mehr. Externe Empfänger müssen seitdem mit neuen SCCs vertraglich verpflichtet worden sein. Das ist nur ein Beispiel einer datenschutzrechtlichen Frist, die deine Software anzeigen soll.
Insbesondere bei international agierenden Unternehmen ist Mehrsprachigkeit gefragt – auch bei der Datenschutzsoftware. Idealerweise übersetzt das Programm die Eingaben der Anwender:innen automatisch.
Der Wert einer Software ist mehr als die Summe Ihrer Funktionen. Folgend haben wir weitere essentielle Kriterien zusammengestellt, die auch beachtet werden müssen.
In der Datenschutzmanagement-Software liegen viele vertrauliche Daten deines Unternehmens ab. Vergewissere dich daher, dass die Autorisierung und Authentifizierung von Nutzenden den höchsten Sicherheitsstandards entsprechen.
Anmeldungen mit Single Sign-on (SSO) sorgen dafür, dass nur Anwender:innen deines Unternehmens Zugriff auf die Datenschutz-Software erhalten. Im Enterprise Segment ist zudem die Anbindung an eine Active Directory (AD) sinnvoll.
Die 2FA zählt in vielen Tools schon zum Standard. Auch bei der Datenschutz-Software deines Unternehmens solltest du darauf achten, dass die 2FA verfügbar ist – immerhin befinden sich in der Software vertrauliche Informationen.
Gut zu wissen: Eine Zwei-Faktor-Authentifizierung kann durch Einmal-Codes per SMS, E-Mail oder auch durch Authenticator-Apps erreicht werden.
Möchtest du andere Tools – beispielsweise für das Prozessmanagement oder Contractmanagement – mit deinem Datenschutzmanagementsystem verknüpfen, muss es dafür passende Schnittstellen geben, die sogenannten Application Programming Interfaces (APIs).
Bei wenigen Themen zur Sicherheit von Applikationen scheiden sich die Geister, wie in der Frage: “Hosting On-Premise oder in der Cloud?” In der Regel hat dein Unternehmen dazu bereits eine klare Meinung, die du deinem potentiellen Softwareanbieter weitergeben kannst.
Eine Datenschutz-Software kann durch diverse Funktionen ihr Onboarding erleichtern.
Mit dieser Lösung fängst du nicht bei null an, sondern kannst bestehende Dokumente einfach importieren lassen. Gerade bei großen Datenbeständen sparst du deinem Unternehmen einen großen Kostenfaktor, wenn dies nicht händisch erledigt werden muss.
Organisationen mit relativ geringer Erfahrung im Datenschutz profitieren von Templates beispielsweise für VTs, TOMs, Risiken und mehr.
Hinweis: Wie die Bezeichnung “Vorlage“ schon sagt, dienen diese in der Regel nur als Vorlagen und müssen von Unternehmen noch an die eigenen Besonderheiten angepasst werden.
Bedenke bei der Wahl deiner Software, wie du und deine Kolleg:innen in die Software eingeführt werden. Prüfe, ob das Angebot deinen Anforderungen genügt: Handelt es sich um persönliche Schulungen für Administrator:innen und Fachabteilungen, allgemeine Webinare beziehungsweise Schulungsvideos oder gibt es ein Handbuch?
Wie lange dauert die Einführung und Anpassung der Software? Und wie unterstützt dich der Anbieter bei der Implementierung? Ein Projektplan schlüsselt auf, welche Verantwortlichkeiten und Abhängigkeiten bestehen.
Die Einführung einer DSMS-Software ist natürlich auch eine finanzielle Entscheidung und die Preisgestaltung variiert zwischen den verschiedenen Anbietern. Folgende Bestandteile solltest du daher vorab klären.
Gerade bei SaaS-Anbietern ist es üblich, monatlich die „Nutzung“ einer Software zu bepreisen. Dabei kann es sich um die Anzahl der Nutzer:innen, der Dokumente oder der gemanagten Unternehmen handeln. Um Planungssicherheit zu erlangen, solltest du die Variablen im Detail verstehen und eine Total Cost of Ownership Kalkulation durchführen.
Der Aufwand für die Anpassung der Software an deine Organisation hängt vom Anbieter und den Anforderungen deines Unternehmens ab. Kläre deshalb frühzeitig, wer sie durchführt und ob dafür Kosten anfallen.
Diese Lösungen gehören nicht zum Kernbereich einer Datenschutzmanagement-Software, werden aber von manchen Anbietern als Add-On bereitgestellt. Oft gibt es hierfür aber Spezialanbieter.
Wenn dein VVT stets penibel gepflegt ist, nutzen dir die Informationen bei der Erstellung deiner Datenschutzerklärung. Eine DSMS-Software hilft mitunter ebenso beim Verfassen von Datenschutzhinweisen nach Art. 13 DSGVO oder zumindest ihrer Verwaltung.
Jede Website braucht einen Cookie-Banner, sobald neben den technisch notwendigen noch weitere Cookies zum Einsatz kommen. In der Regel gibt es dafür Spezialanbieter. Jedoch kann eine Datenschutzmanagement-Software die Einstellungen und Texte des Cookie-Banners dokumentieren.
Unternehmen sollten regelmäßig die Cookie-Einstellungen auf allen URLs der eigenen Webseite prüfen. Denn schließlich reicht schon eine falsche Einstellung auf einer einzelnen Seite aus, um datenschutzrechtliche Probleme zu bekommen. Ein automatisierter Website-Cookie-Check bringt hier Abhilfe.
Diese Funktion überzeugt hauptsächlich, wenn es sich um interaktive Schulungen handelt und nicht um Frontalvorträge. Außerdem ist eine Einbindung in das eigene Learning Management System (LMS) von Vorteil. Am Ende sollten die Mitarbeitenden ein Zertifikat erhalten.
Manche Softwareanbieter liefern einen Zugang zu aktueller Fachliteratur und Primärcontent gleich mit. Dies ist ausgesprochen förderlich für Datenschutz-Expert:innen. Sinnvoll ist zudem die Einbindung in den Workflow einer DSMS-Software.
Wenn du die optimale Datenschutzmanagement-Software für dein Unternehmen suchst, musst du einiges beachten. Trotzdem lohnt sich der Aufwand, da eine professionelle Datenschutzlösung wie caralegal deinem Unternehmen in vielfacher Hinsicht weiterhilft.
Welche der 101 Kriterien für dein Unternehmen am wichtigsten sind, hängt nicht nur von der Unternehmensgröße ab, sondern vor allem von dem Datenschutzreifegrad der gesamten Datenschutzorganisation.
Anhaltspunkte für deine Suche kann dir hoffentlich diese ausführliche Checkliste für Datenschutzmanagement-Software bieten.
Falls du bei deiner Suche weitere Fragen hast, beraten dich unsere Datenschutzsoftware-Experten gerne persönlich und unverbindlich.
Entdecke weitere Beiträge zu diesem Thema:
en_US
