Inhaltsverzeichnis Checkliste für Datenschutzmanagement-Software:
1. Ziele festlegen
Machen Sie sich bereits im Vorfeld folgende Punkte klar: Warum möchten Sie eine Datenschutzmanagement-Software einführen? Worauf liegt der Fokus? Wollen Sie die Qualität der Dokumentation steigern oder vielleicht die Zusammenarbeit mit Fachbereichen verbessern? Oder zielt Ihr Unternehmen auf Prozessautomatisierung ab?
Wenn Sie diese Fragen beantworten, können Sie unsere Liste noch effektiver nutzen.
Inhaltsverzeichnis Checkliste für Datenschutzmanagement-Software:
Die folgenden Funktionen sind ein Muss für jede Datenschutzmanagement-Software.
Verzeichnis von Verarbeitungstätigkeiten
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist zwar eine einzelne Funktion. Dahinter verbirgt sich jedoch eine Vielzahl an Anforderungen, die darüber entscheiden, wie qualitativ hochwertig dein Datenschutzmanagementsystem aufgebaut ist.
2. Einfache Übersicht über Verarbeitungstätigkeiten
Ein VVT ist im Wesentlichen eine Liste aller Prozesse, in denen personenbezogene Daten verarbeitet werden. Daher ist es wichtig, dass eine Software einen guten Überblick verschafft und über eine Suchfunktion oder gezielte Filtermöglichkeiten (nach Abteilung, Dienstleister, Status etc.) verfügt.
3. VVT auf Knopfdruck exportieren
Bei einer Behördenanfrage ist es mitunter nötig, das VVT vorzulegen. Ein Export auf Knopfdruck ist daher unerlässlich, am besten im PDF- oder Excel-Format. Dabei sollten die Mindestanforderungen aus Art. 30 DSGVO beachtet werden.
4. Verarbeitungstätigkeiten an andere Unternehmensbereiche „vererben
In vielen Unternehmen gibt es Verarbeitungstätigkeiten (VTs), die in mehreren Tochtergesellschaften Anwendung finden. Damit diese nicht doppelt dokumentiert werden müssen, enthält eine gute Datenschutzsoftware die Funktion, Verarbeitungstätigkeiten zu „vererben“ oder zu kopieren und an einer zentralen Stelle zu verwalten. So sparen Sie viel Dokumentationsaufwand.
5. Benutzerdefinierte Ansicht nach Nutzerrollen
Bei der Erstellung von Verarbeitungstätigkeiten arbeiten Datenschutzverantwortliche, Prozessverantwortliche und Fachbereiche in enger Abstimmung. Um letzteren die Zuarbeit zu vereinfachen, ist es sinnvoll, diesen eine schlankere Ansicht zu bieten. Felder, die Datenschutzwissen voraussetzen (z. B. die Rechtsgrundlage einer VT) benötigen nur DatenschutzexpertInnen – Fachbereiche hingegen nicht.
6. Datei-Upload für Nachweise
Wie sieht die Einwilligungserklärung Ihres Newsletters aus? Um dies nachweisen zu können, sollte die Marketing-Abteilung Ihres Unternehmens direkt in der Verarbeitungstätigkeit einen Screenshot hinterlegen können.
7. Freigabeprozess
Verarbeitungstätigkeiten können verschiedene Status („in Bearbeitung“, „in Überprüfung“, „Freigegeben“) haben. Das sollte auch die Software abbilden und einen Freigabeprozess abhängig von der Benutzerrolle ermöglichen. Dazu gehört auch, dass die Fachabteilungen während der Prüfung durch die Datenschutz-ExpertInnen keine Änderungen mehr vornehmen dürfen – so wird Verwirrungen entgegengewirkt.
8. Vollständigkeitskontrolle
Um unnötige Feedbackschleifen zu vermeiden, benötigen Sie für die Freigabe einer Verarbeitungstätigkeiten alle notwendigen Informationen von Fachabteilungen. Eine gute Datenschutzsoftware leistet das mithilfe einer Vollständigkeitskontrolle, die die Vorlage zur Überprüfung an DatenschutzexpertInnen nur zulässt, wenn alle erforderlichen Felder ausgefüllt wurden.
9. Adaptive Felder bei der Angabe der Rechtsgrundlage
Für jeden Zweck einer Verarbeitungstätigkeit muss eine Rechtsgrundlage angegeben werden. Je nach Rechtsgrundlage bedarf es aber zusätzlicher Informationen. Die Datenschutzsoftware sollte daher nicht nur über ein Drop-down-Menü mit vordefinierten Rechtsgrundlagen verfügen, sondern auch je Rechtsgrundlage passende zusätzliche Eingabefelder anzeigen. Darüber hinaus ist es praktisch, wenn bestimmte Rechtsgrundlagen nur bestimmten Unternehmensbereichen zugeordnet werden.
Ein Beispiel für unterschiedliche Zusatzangaben: Bei Art. 6 Absatz 1 lit a DSGVO (Einwilligung) sollte zusätzlich angegeben werden, wie die Einwilligung eingeholt wird, was darin steht und wie sie nachgewiesen werden kann. Wenn die Rechtsgrundlage ein Vertrag ist (Art. 6 Absatz 1 lit b DSGVO), reicht es aus, diesen zu nennen.
10. Angabe von Datentypen statt Datenkategorien
Die DSGVO schreibt zwar Datenkategorien (Beispiel: Stammdaten) im VVT vor, jedoch sollte in der Datenschutzpraxis – und gerade wenn Auskunft von Fachbereichen einzuholen ist – zuerst über Datentypen gesprochen werden (Beispiel: E-Mail-Adresse). Diese Datentypen sollten in der Verarbeitungstätigkeit angegeben werden. Idealerweise sind diese schon per Drop-down-Menü bereitgestellt und Datenkategorien zugeordnet, damit den Fachbereichen die Auswahl leichter fällt.
Achtung: Häufig fordern Behörden auch Auskunft über Datentypen ein, obwohl diese nicht explizit in der DSGVO genannt werden. Daher ist eine klare Zuordnung von Datentypen zu Datenkategorien wichtig.
11. Vorauswahl von Datentypen je Personengruppe
In Verarbeitungstätigkeiten muss angegeben werden, von welcher Personengruppe Daten verarbeitet werden. Um die Bearbeitung zu beschleunigen, filtert eine Datenschutzsoftware diese Datentypen bereits nach der vorausgewählten Personengruppe.
12. Flexible Zuordnung von externen Empfängern zu einzelnen Datenkategorien
In Verzeichnissen von Verarbeitungstätigkeiten (VVTs) werden neben der Datenquelle auch die Speicherorte sowie die internen und externen Empfänger angegeben. Wenn in einer Verarbeitungstätigkeit mehrere Datentypen verarbeitet werden, müssen diese möglicherweise unterschiedlichen externen Empfänger zugeordnet werden. Eine Datenschutzmanagement-Software sollte daher unbedingt in der Lage sein, diese Differenzierung einfach und verständlich darzustellen, sodass sie leicht nachvollziehbar bleibt.
13. Unterscheidung zwischen Datenspeicherorten und externen Empfängern
Beim Einsatz von Software-as-a-Service-Lösungen sind der Datenspeicherort und der externe Empfänger oft identisch – zum Beispiel Sendinblue Newsletter-Tool und Sendinblue GmbH. Eine Differenzierung ist aber notwendig, wenn ein Dienstleister mehrere Produkte anbietet – so wie Atlassian mit Confluence und Jira. Daher sollte eine Datenschutzsoftware separate Felder für Datenspeicherorte und externe Empfänger anbieten.
Hinweis: Oft ist Fachabteilungen nicht bewusst, welcher externe Empfänger hinter einer Software steckt. Trotzdem muss dieser dokumentiert werden. Aus diesem Grund ist es besonders hilfreich, wenn dieser beim Eintragen einer Software automatisch hinzugefügt wird.
14. Gesetzliche Aufbewahrungsfristen sind hinterlegt
In einer guten Datenschutzmanagement-Software sind die gängigen gesetzlichen
Aufbewahrungsfristen für unterschiedliche Dokumententypen hinterlegt, sodass diese über ein Drop-down-Menü auswählbar sind und die Speicherdauer sowie der Beginn der Aufbewahrungsfrist automatisch hinterlegt werden. Dadurch sparen AnwenderInnen Zeit, da sie die Fristen nicht erst manuell recherchieren und eintragen müssen. Eine gute Software bietet zudem die Option, mehrere Fristen zu einer VT hinzuzufügen und auch eigene interne Aufbewahrungsfristen einzutragen.
15. VTs sind die Basis des Löschkonzepts
Für die Erstellung eines Löschkonzepts benötigen DatenschützerInnen die Speicherdauer und Löschpraxis pro Verarbeitungstätigkeit. Die Informationen dazu kommen aus den einzelnen VTs, weshalb eine Software bereits strukturiert Löschfristen und -arten einsammeln sollte.
16. Datenflussdiagramm erstellen oder beifügen
Speziell bei komplexen Datenverarbeitungsprozessen dienen Datenflussdiagramme der Veranschaulichung von VTs und somit der Prüfung durch die DatenschutzexpertInnen. Die Datenschutzsoftware stellt Datenflüsse daher bestenfalls bereits visuell dar. Zumindest sollte es möglich sein, Diagramme den einzelnen VTs zuzuordnen.
17. Verarbeitungsspezifische technische und organisatorische Maßnahmen hinzufügen
In der Regel implementieren Unternehmen übergreifende technische und organisatorische Maßnahmen (TOMs), die für alle Verarbeitungstätigkeiten gelten. In der Praxis kommt es aber vor, dass gewisse TOMs nur bei bestimmten VTs zum Einsatz kommen. Ihre Datenschutzmanagement-Software sollte daher in der Lage sein, dieser Anforderung nachzukommen und zwischen allgemeinen und verarbeitungsspezifischen Maßnahmen zu unterscheiden.
18. Zuordnung von Risiken zu Verarbeitungstätigkeiten
In Unternehmen mit hoher Datenschutzreife und umfassendem Risikomanagement wird oft für jede Verarbeitungstätigkeit eine Risikoabschätzung durchgeführt. Ist dies bei Ihnen der Fall, muss die passende Datenschutzsoftware dies anbieten, auch wenn keine DSFA erstellt wird.
19. Automatische Schwellwertanalyse
Eine Schwellwertanalyse dient dazu, die Notwendigkeit einer DSFA zu ermitteln. Dafür hat sich in der Praxis ein Katalog mit neun Fragen etabliert. Die Datenschutzmanagement-Software muss diese nicht nur anbieten (z. B. über Ja-/Nein-Auswahlfelder), sondern sollte idealerweise auch Hintergrundinformationen und Beispiele liefern, wann eine Frage mit Ja zu beantworten ist. Idealerweise schlägt Ihnen die Software auf Basis Ihrer Antworten vor, ob die Erstellung einer DSFA notwendig ist.
20. Black- und Whitelists
Bei der Entscheidung für oder gegen eine Datenschutz-Folgenabschätzung haben Aufsichtsbehörden bereits White- und Blacklists herausgegeben. Diese schreiben eine DSFA für bestimmte Prozesse vor. Ihre Datenschutzmanagement-Software sollte diese bereitstellen und auf dieser Basis darauf hinweisen, ob ein Prozess auf einer dieser Listen vorkommt.
Achtung: Diese Listen unterscheiden sich je Bundesland und werden regelmäßig aktualisiert. Hier haben wir die Liste der DSK für den nicht-öffentlichen Bereich verlinkt, auf die sich mehrere Bundesländer beziehen.
21. Kommentare erstellen und zuweisen
Verarbeitungstätigkeiten werden oft gemeinsam von DatenschutzexpertInnen und Fachbereichen gepflegt. Dabei kommen natürlich gelegentlich Fragen auf. Die Datenschutzsoftware sollte feldspezifische Kommentare zulassen, um die Zusammenarbeit zu vereinfachen.
22. Versionsverlauf für einfache Nachverfolgbarkeit
Arbeiten mehrere Personen in einer Verarbeitungstätigkeit zusammen, ist es sinnvoll, den Bearbeitungsverlauf zu sehen. Die Änderungen sollten daher in der Datenschutzsoftware nachverfolgbar sein und angezeigt werden.
23. Versionsverlauf wiederherstellen
Manchmal wird fälschlicherweise eine Angabe in einer Verarbeitungstätigkeit gelöscht, die später noch gebraucht wird. Dann ist es wichtig, dass die Software auflisten kann, welche Informationen zuvor vorhanden waren. Die Wiederherstellung dieses Status quo ist ein weiteres Plus.
24. Verarbeitungstätigkeit als Workflow darstellen
Fachabteilungen sollen befähigt sein, relevante Informationen zu Prozessen bereitzustellen. Es ist wichtig, AnwenderInnen nicht mit zu vielen Eingabefeldern zu überfordern. Daher ist es sinnvoll, die Teile einer Verarbeitungstätigkeit aufzuteilen – idealerweise in Form eines Workflows. Eine moderne Datenschutzmanagement-Software spiegelt das wider und belohnt die AnwenderInnen dadurch, dass ein Fortschritt in der Arbeit sichtbar wird.
25. Verarbeitungstätigkeiten als Auftragsverarbeiter erstellen
Nach Art. 30 Absatz 2 DSGVO muss ein VVT auch jene Prozesse enthalten, in denen das Unternehmen als Auftragsverarbeiter agiert. Dabei ergeben sich leicht abgewandelte Anforderungen im Vergleich zu Verarbeitungstätigkeiten aus der Sicht des Verantwortlichen. Achten Sie darauf, dass Ihre Datenschutzsoftware dafür konzipiert wurde.
Datenschutz-Folgenabschätzungen
Für besonders risikobehaftete Prozesse müssen Unternehmen nach Art. 35 DSGVO vorab eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Datenschutz-Lösungen sollten dabei einige Dinge beachten:
26. Direkte Verknüpfung mit dem Verzeichnis von Verarbeitungstätigkeiten
Für die Durchführung und Dokumentation einer DSFA werden in der Regel sämtliche Informationen benötigt, die bereits in der Verarbeitungstätigkeit dokumentiert wurden. Sie ersparen sich doppelte Arbeit, wenn die Datenschutzsoftware beide Funktionen automatisch verknüpft bzw. die Angaben aus dem VT in die DSFA überträgt.
27. Freitexteingabe und Funktionen zur Zusammenarbeit
Eine DSFA ist eine umfassende Analyse. Dabei arbeiten in vielen Unternehmen RechtsexpertInnen mit Projekt-Teams zusammen. In einer Datenschutzmanagement-Software sollten mehrere NutzerInnen gleichzeitig auf einen Text zugreifen, gemeinsam daran arbeiten und Kommentare zuweisen können. Kollaboration und Iteration sind hier elementar.
28. Risiken erfassen und bewerten
Im Rahmen der Datenschutz-Folgenabschätzung müssen Risiken erfasst und nach ihrer Eintrittswahrscheinlichkeit sowie der Schadenshöhe bewertet werden. Eine ideale Software verfügt bereits über eine Vorauswahl an Gewährleistungszielen, die den einzelnen Risiken zugeordnet werden.
29. Vorauswahl von Risiken und TOM
Ihre Software verfügt bestenfalls über die Funktion, im Zuge der Risikoanalyse und Risikobehandlung auf ein zentrales Repertoire von Risiken und den damit verbundenen technischen und organisatorischen Maßnahmen zuzugreifen.
30. Einhaltung der Betroffenenrechte dokumentieren
Bei einer DSFA muss sichergestellt werden, dass die Betroffenenrechte eingehalten werden. Die Software sollte diese Rechte und ihre Relevanz ausweisen. Dazu muss angegeben werden, mit welchen Maßnahmen die Betroffenenrechte gewährleistet werden können.
31. Exportfunktion zur Konsultation der Aufsichtsbehörde
Wenn hohe Risiken vorliegen, kann eine Konsultation der Aufsichtsbehörde notwendig sein. Dann muss ihr eine DSFA vorgelegt werden. Der Export dieser aus Ihrer Datenschutzmanagement-Software sollte zwingend möglich sein und das erstellte Dokument muss die Anschrift und Ansprechpartner des Unternehmens abbilden. Bei Konzerngesellschaften muss dies jeweils für einzelne Tochtergesellschaften anpassbar sein.
Technische und organisatorische Maßnahmen
Technische und organisatorische Maßnahmen (TOM) sind nach Art. 32 DSGVO Maßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten zu garantieren.
32. Auf Vorlagen zugreifen
TOM dienen dazu, die Risiken der Verarbeitung zu mindern. Ein Programm sollte Sie daher durch einen Vorlagenkatalog in die Lage versetzen, geeignete Maßnahmen zu identifizieren. Dabei kann z. B. ein ISO 27001-Katalog behilflich sein.
33. TOM zu Gewährleistungszielen zuordnen
Gewährleistungsziele sind Schutzziele, die sich aus den Grundsätzen des Art. 5 DSGVO ableiten. Dazu gehören:
- Sicherung der Verfügbarkeit und Wiederherstellbarkeit
- Integrität
- Vertraulichkeit
- Transparenz
- Intervenierbarkeit
- Nicht-Verkettbarkeit personenbezogener Verarbeitung von Daten
Zu jedem dieser Ziele lassen sich in der Praxis einzelne TOM zuordnen. Das sollte eine Datenschutzsoftware automatisiert abbilden.
34. Übersicht über TOM und deren Status haben
Welche TOM hat Ihr Unternehmen bereits umgesetzt? In welchen Prozessen kommen sie genau zum Einsatz? Geplant oder bereits implementiert – was ist der Status einer TOM? Alle diese Fragen müssen auf Knopfdruck in einer Datenschutzmanagement-Software ersichtlich sein.
35. TOM und Risiken verknüpfen
TOM sind die Antwort auf datenschutzrelevante Risiken. Die Zuordnung, welche TOM welches Risiko mindert, sollte in Ihrer Software abgebildet werden. Dadurch sparen Sie sich als AnwenderIn wertvolle Zeit, wenn dasselbe Risiko bei einem neuen Prozess auftritt.
Datenschutzverletzungen und -vorfälle
Ein Datenschutzvorfall ist geschehen – was ist nun zu tun? Dieser Prozess sollte in jedem Unternehmen klar sein. Mit den folgenden Funktionen steht Ihnen eine verlässliche Datenschutzmanagement-Software zur Seite.
36. Alle Mitarbeitende können einen Vorfall melden
Bei einem Datenschutzvorfall zählt jede Minute, um Maßnahmen zu ergreifen. Hierbei ist es wichtig, dass DatenschutzkoordinatorInnen beziehungsweise Datenschutzbeauftragte (DSB) schnellstens informiert werden. Ihre Software sollte bei der Koordination unterstützen, indem alle Mitarbeitenden Zugriff erhalten und ein einfaches Formular für die Meldung des Vorfalls an die Hand bekommen. Daraufhin müssen die zuständigen Personen automatisch per E-Mail informiert werden.
37. Maßnahmen ableiten
Sobald ein Vorfall gemeldet wurde, muss geklärt werden, welche Daten von welchen Personen betroffen sind und mit welchen Auswirkungen zu rechnen ist. Eine gute Datenschutzsoftware identifiziert die Daten und die betroffenen Personen(gruppen) sowie die Systeme, in denen die Daten hinterlegt sind. Somit gibt die Software Aufschluss über die zu treffenden Maßnahmen.
38. Entscheidung dokumentieren
Müssen die betroffenen Personen benachrichtigt werden? Handelt es sich um einen meldepflichtigen Vorfall? Eine Software dient dazu, diese Fragen revisionssicher zu dokumentieren.
39. Aufgaben ableiten und nachverfolgen
Bei einem Datenschutzvorfall ergeben sich für Verantwortliche zahlreiche Aufgaben – abhängig davon, ob eine Meldung notwendig ist oder nicht. Ihre Datenschutzmanagement-Software sollte das Aufgabenmanagement zentral übernehmen und es Ihnen ermöglichen, Aufgaben zuzuweisen, Fristen zu setzen und im Blick zu behalten.
40. Export für Meldung an eine Behörde
Kommen der Datenschutzbeauftragte und die Geschäftsführung zu dem Ergebnis, dass eine Meldung an die Behörde erfolgen muss, hat diese bestimmte Informationen zu beinhalten. Ein dokumentierter Datenschutzvorfall sollte von Ihrer Software per Knopfdruck exportiert werden können.
Betroffenenanfragen
Für Anfragen von betroffenen Personen benötigt Ihr Unternehmen standardisierte Prozesse für die unterschiedlichen Anfragearten. Eine Datenschutzmanagement-Software kann dabei operativ für Entlastung und Struktur sorgen.
41. Anfragen via Webformular erhalten
Viele Unternehmen machen es sich und betroffenen Personen einfacher, in dem Sie dedizierte Webformulare zur Übermittlung von Betroffenenanfragen anbieten. Der Vorteil für das Unternehmen: Anfragen werden direkt in der Datenschutzmanagement-Software gebündelt.
42. Betroffenenanfrage korrekt dokumentieren
Welche Arbeitsschritte auf eine Anfrage folgen, hängt von der Art der Betroffenenanfrage ab. In der Praxis überwiegen Auskunftsanfragen (nach Art. 15 DSGVO) und Löschanfragen (nach Art. 17 DSGVO). Eine Software muss in der Lage sein, die korrekte Einordnung zu treffen und basierend darauf den Prozess zur Abarbeitung vorzugeben.
43. Integration mit E-Mail-Client oder Customer-Support-Software
In der Regel werden Betroffenenanfragen per E-Mail an Unternehmen übermittelt. Hier bietet es sich je nach Tech-Setup Ihres Unternehmens an, dass Ihre Datenschutzsoftware eine Anbindung an den E-Mail-Client oder Ihre Customer-Support-Software ermöglicht. Dadurch können Prozesse automatisiert und der manuelle Aufwand reduziert werden.
44. Anpassbarer Workflow pro Unternehmenseinheit
Insbesondere bei Konzernen werden Betroffenenanfragen je Organisationseinheit erfasst. Eine moderne Datenschutzsoftware unterstützt dabei durch anpassbare Workflows, die je nach Tochtergesellschaft einen individuellen Prozess mit vordefinierten Verantwortlichkeiten auslösen.
45. Überblick über Datenspeicherorte aufzeigen
Gerade bei Löschanfragen ist es wichtig, alle Daten der betroffenen Person unter Berücksichtigung gesetzlicher Aufbewahrungsfristen zu löschen. Ihre Datenschutzmanagement-Software muss bei einem gut gepflegten VVT eine Übersicht bieten, in welchen IT-Systemen Daten der Person vorhanden sind beziehungsweise vorhanden sein könnten.
46. Portal für die sichere Übermittlung von Antworten an Betroffene
Ein sicheres Portal für Betroffenenanfragen ermöglicht die verschlüsselte Übermittlung sensibler Informationen und gewährleistet, dass nur autorisierte Empfänger Zugriff darauf erhalten. Statt einer unsicheren E-Mail-Kommunikation oder physischer Dokumentenzustellung werden Daten über eine zentralisierte Plattform bereitgestellt, die verschiedene Sicherheitsmechanismen integriert.
47. Zuweisung von Aufgaben an Mitarbeitende
Eine Datenschutzmanagement-Software erleichtert die automatische Zuweisung von Betroffenenanfragen an die zuständigen Mitarbeitenden, wodurch eine schnelle Bearbeitung sichergestellt wird. Verantwortlichkeiten, Fristen und Bearbeitungsfortschritte lassen sich zentral verwalten, sodass Anfragen effizient koordiniert und Engpässe vermieden werden. Zudem sorgt eine Erinnerungsfunktion per E-Mail für die zeitnahe Erledigung der Aufgaben.
48. Vorlagen für die Kommunikation mit den Betroffenen
Standardisierte Vorlagen für die Kommunikation erleichtern die rechtssichere und konsistente Beantwortung von Betroffenenanfragen. Durch vordefinierte Textbausteine für Auskunftsersuchen, Löschanfragen oder Widersprüche sparen Unternehmen Zeit und minimieren Fehler. Zudem ermöglichen dynamische Platzhalter eine individuelle Anpassung der Nachrichten an Betroffene.
Löschkonzept
Die Notwendigkeit eines Löschkonzepts erwächst aus Art. 5 und Art. 17 DSGVO. In der Praxis kann eine Datenschutzsoftware hier großen Mehrwert leisten.
49. Automatische Übernahme der Angaben aus dem VVT
Datenschutzbehörden sichten bevorzugt Löschkonzepte, da sie darstellen, ob Ihr Unternehmen die Löschpflichten einhält. Der strukturierte Export sollte mit der richtigen Software möglich sein.
51. Löschtermine anzeigen und nachverfolgen
Das Löschkonzept zeigt Ihrem Unternehmen auf, wann welche Daten gelöscht werden dürfen bzw. müssen. Ihre Datenschutzmanagement-Software sollte diese Informationen spezifisch für Unternehmensbereiche oder IT-Systeme abbilden.
52. Löschprotokollierung ermöglichen
Alle Unternehmen müssen nachweisen, dass sie ihren Löschpflichten faktisch nachkommen. Dafür werden in der Praxis sogenannte Löschprotokolle eingesetzt. In Ihrer Datenschutzsoftware sollten Sie diese übersichtlich aufbewahren können.
Externer Datentransfer, Auftragsverarbeitung und Dienstleistermanagement
Wenn personenbezogene Daten an externe Dienstleister beziehungsweise Geschäftspartner weitergegeben werden, muss zunächst der Datenschutz sichergestellt sein. Die dafür notwendige Prüfung und Dokumentation kann durch eine entsprechende Software vereinfacht werden.
53. Übersichtliche Liste aller externer Empfänger
Ihre Datenschutzmanagement-Software muss Informationen zu den folgenden Fragen bereitstellen: Welche externen Empfänger werden in welchem Bereich eingesetzt? Wurden diese bereits geprüft und vom Datenschutz-Team freigegeben? Von Vorteil sind zudem detaillierte Filtermöglichkeiten sowie eine Exportfunktion.
54. Produkte und Services verwalten
Da externe Empfänger oft mehrere Produkte oder Dienstleistungen anbieten, sollte Ihre Datenschutzmanagement-Software eine klare Trennung zwischen externen Empfängern und den jeweiligen Produkten sowie Datenspeicherorten ermöglichen.
55. Allgemeine Angaben und vertragliche Vereinbarungen dokumentieren
Grundlegende Angaben zu einem Dienstleister und die getroffenen vertraglichen Vereinbarungen bilden die Basis der datenschutzrechtlichen Prüfung. Ein optimales Datenschutz-Programm befähigt die Fachbereiche in Ihrem Unternehmen dazu, diese allgemeinen Angaben einzutragen und Verträge beziehungsweise Vertragsvorlagen zu hinterlegen. So kann Ihr Datenschutz-Team die Freigabe des Dienstleisters prüfen.
56. Unterstützung bei der Compliance-Prüfung von externen Empfängern
Die datenschutzrechtliche Prüfung eines Dienstleisters und vornehmlich die Prüfung des Auftragsverarbeitungsvertrags (AVV) ist eine wichtige Aufgabe. Die notwendigen Prüfschritte unterscheiden sich jedoch dahingehend, um welches Vertragsverhältnis (z. B. AVV vs. Joint Controller) es sich handelt oder wo der Ort der Datenverarbeitung (z. B. Deutschland vs. USA) liegt. Eine Datenschutzsoftware muss adaptiv auf die Eingaben reagieren und AnwenderInnen den korrekten Prüf-Workflow an die Hand geben, bis es zur Freigabe des externen Empfängers kommen kann.
57. Kommunikation mit Fachbereichen ermöglichen
Fachbereiche bilden für das Datenschutz-Team die Schnittstelle zum externen Empfänger. Wenn also weitere Informationen benötigt werden, muss mit den Bereichen abgestimmt werden. Zu diesem Zweck sollte eine Datenschutzsoftware über eine feldspezifische Aufgaben- oder Kommentarfunktion verfügen.
58. Kommunikation mit dem externen Empfänger ermöglichen
Werden bei Ihrem Unternehmen viele externe Empfänger angebunden, kann es effizienter sein, dass diese die notwendigen Informationen zur Prüfung selbstständig bereitstellen. Dazu bieten Datenschutzsoftwares anpassbare Fragebögen an, die Sie direkt über die Software an externe Empfänger senden.
59. Darstellung, in welchen Prozessen ein externer Empfänger eingebunden ist
Ihre Datenschutzsoftware sollte eine Verknüpfung zwischen externen Empfängern und Verarbeitungstätigkeiten darstellen. Es muss klar ersichtlich sein, in welchem Prozess ein Dienstleister eingesetzt wird.
Dokumentenablage
Eine DSMS-Software dient als Single Source of Truth. Idealerweise sammelt Ihr Unternehmen hier alle datenschutzrelevanten Dokumente und nutzt Verlinkungen zu anderen Ablagen.
60. Dokumentencenter
Datenschutzhinweise und -richtlinien werden in der Regel mit Office-Anwendungen erstellt. Eine Datenschutzsoftware sollte diese Dokumente zentral sammeln und kategorisieren.
61. Einwilligungsverzeichnis beziehungsweise -management
Organisationen, die in großem Umfang Einwilligungen zur Datenverarbeitung einholen, hilft eine Software mit einem zentralen Einwilligungsmanagement. Hierbei können die Dokumente einzelnen Organisationseinheiten zugeordnet werden.
Management-Funktionen
Neben den datenschutzrechtlichen Kernfunktionen gibt es diverse Koordinations- und Steuerungsfunktionen, über die eine gute Datenschutzmanagement-Software verfügt.
KPI-Messung und Reporting
Um Datenschutzmanagement-Systeme zu verbessern, müssen sie mittels KPIs messbar gemacht werden.
62. Übersichtliches Dashboard mit Filterfunktion
Obwohl es beim Datenschutz auf Details ankommt, benötigt das Datenschutzteam Ihres Unternehmens Kennzahlen für die Kommunikation mit dem C-Level. Eine Datenschutzmanagement-Software assistiert mit verständlichen Dashboards dabei, Änderungen wichtiger KPIs zu messen. So kann beispielsweise die Anzahl der gemeldeten Datenschutzverletzungen je Unternehmensbereich Aufschluss darüber geben, wie hoch die Datenschutz-Awareness ist.
63. Aktivitäten nachverfolgen (für externe DSB)
Gerade beim Einsatz externer Datenschutzbeauftragter kann eine Software bei der Nachvollziehbarkeit der durchgeführten Aufgaben helfen. Dadurch kann der Mandant direkt im Programm nachvollziehen, welchen Tätigkeiten der oder die Datenschutzbeauftragte nachgegangen ist und am Ende des Monats abgerechnet hat. Für interne Datenschutz-Teams ist diese Funktion in der Regel nicht relevant.
64. Jahresbericht erstellen
Am Jahresende weisen externe Datenschutzbeauftragte ihren Mandanten im Zuge eines Jahresberichts aus, welche Maßnahmen sie hinsichtlich des Datenschutzes vorgenommen haben. Eine DSMS-Software kann dafür passende Vorlagen liefern oder erstellt den mandantenspezifischen Bericht durch einen strukturierten Export automatisch. Auch diese Funktion ist für interne DSBs üblicherweise von geringerer Relevanz.
Auditierung und Assessments
Im Sinne der regelmäßigen Prüfung des Datenschutzmanagements führen Unternehmen interne und externe Audits bzw. Assessments durch. Dabei werden Fachbereiche, gesamte Gesellschaften oder externe Dienstleister geprüft. Eine Datenschutzmanagement-Software leistet dafür wertvolle Dienste.
65. Audit-Vorlagen bereitstellen
Datenschutz-Audits verschaffen Ihnen einen Überblick über den Status quo des Datenschutzes in Ihrem Unternehmen oder einem Teilbereich. Dabei werden neben der Dokumentation auch Prozesse überprüft, wofür eine Datenschutzsoftware Audit-Vorlagen bereitstellen kann.
66. Fragenkatalog erstellen
Für die Erstellung von Fragenkatalogen sind verschiedene Fragetypen und Komponenten wie Checkboxen, Multiple- oder Single-Choice-Optionen sowie freie Texteingaben hilfreich. Einige Programme bieten zudem eine dynamische Wenn-Dann-Logik, durch die sich der Fragenkatalog automatisch an vorherige Antworten anpasst. Dies ermöglicht eine gezieltere Erfassung relevanter Informationen und optimiert den Bearbeitungsprozess.
67. Fragenkataloge an Mitarbeitende (intern) versenden
Der Versand von Fragenkatalogen an Mitarbeitende übernimmt eine Datenschutzmanagement-Software für Sie. Oft wählen Sie die Namen der Mitarbeitenden in der Software aus oder geben deren E-Mail-Adresse an. Diese sollten dann automatisiert benachrichtigt und an die Beantwortung erinnert werden.
68. Fragenkataloge an externe Dienstleister versenden
Der Versand von Fragenkatalogen an externe Dienstleister kann die Datenschutz-Compliance vereinfachen. Eine moderne Datenschutzsoftware bietet Ihnen den automatischen Versand über die Angabe einer E-Mail-Adresse und hilft bei der Nachverfolgung der Antworten.
69. Interview-Modus
Viele Audits werden in einem persönlichen Meeting von einem Auditor durchgeführt. Eine nützliche DSMS-Software ist der prüfenden Person dienlich, ihre Notizen strukturiert festzuhalten.
70. Audit-Report erstellen
Ein Audit-Report spiegelt den Umfang und die Findings eines Datenschutz-Audits wider. Gute Datenschutzmanagement-Programme fertigen diesen Report automatisiert an. Das Word-Format eignet sich dafür besonders gut, weil es Änderungen durch den Auditor zulässt, wie etwa das Hinzufügen von Firmenstempel und Unterschrift. Zu Beginn des Reports sollte eine Management Summary die wichtigsten Erkenntnisse zusammenfassen.
71. Audit-Antworten exportieren
Eine Datenschutzmanagement-Software sollte die Exportfunktion für Audit-Antworten unterstützen, um Nachweise effizient zu speichern und weiterzuverarbeiten. Durch den Export in gängige Formate (z. B. PDF, Excel) können Prüfer und Datenschutzbeauftragte schnell auf relevante Informationen zugreifen. Zudem erleichtert eine strukturierte Datenaufbereitung die Analyse und Dokumentation von Compliance-Maßnahmen.
72. Audit-Findings in Aufgaben umwandeln und monitoren
Die während des Audits gefundenen Verbesserungspotenziale stellen Aufgaben für die Zukunft dar. Eine DSMS-Software sollte in der Lage sein, Audit-Findings durch ein Aufgabenmanagement direkt Personen zuzuweisen und ihre Umsetzung nachzuverfolgen.
Gut zu wissen: Die Priorisierung und Fristsetzung obliegen in der Regel dem Auditor.Die
Best-Practices beim Datenschutz-Audit haben wir in einem separaten Artikel behandelt.
Zusammenarbeit
Eine DSMS-Software wird häufig als ExpertInnen-Tool angesehen. Das liegt jedoch vor allem daran, dass viele Angebote nicht für „Datenschutz-Laien“ gemacht sind. Um Datenschutz in Ihrem Unternehmen effektiv umzusetzen, sollten auch Fachbereiche mitarbeiten.
73. Aufgaben erstellen, zuweisen und nachverfolgen
Datenschutzmanagement hat viel mit Projektmanagement zu tun. Das heißt, Aufgaben und Verantwortlichkeiten müssen klar verteilt werden. Daher muss eine Datenschutzsoftware klassische Task-Management-Funktionen besitzen. Wichtig sind im Speziellen Informationen darüber, welche Aufgaben Datenschutz-ExpertInnen anderen Mitarbeitenden übertragen haben und welche Fristen zeitnah ablaufen.
74. Benachrichtigungen erhalten
Werden einer Person Aufgaben zugewiesen, ist es wichtig, dass sie darüber informiert wird. Dies kann über eine Anzeigefunktion in der Software oder per E-Mail geschehen. Eine Integration des Programms in Kommunikationssoftware wie Slack oder Microsoft Teams ist von Vorteil.
75. Wiederkehrende Aufgaben oder Wiedervorlage
Beim Datenschutzmanagement sind regelmäßig wiederkehrende Tätigkeiten durchzuführen. So sollten etwa die Verarbeitungstätigkeiten alle sechs bis zwölf Monate auf Aktualität überprüft werden. Dafür können moderne Datenschutzsoftware wiederkehrende Aufgaben – oft auch Wiedervorlagen genannt – erstellt werden.
Rollen-, BenutzerInnen- und Organisationsverwaltung
Die Abläufe und Verantwortlichkeiten Ihrer Organisation müssen in einer Datenschutzmanagement-Software abbildbar sein. Dabei gilt es einiges zu beachten:
76. Leichtes Hinzufügen von BenutzerInnen
Das Hinzufügen neuer Benutzer-Accounts sollte möglichst unkompliziert funktionieren, z. B. via E-Mail-Adresse. Um eine große Anzahl an Nutzenden einzuladen, sollte die Software eine „Batch“-Funktion besitzen. Noch besser ist die Möglichkeit zur Anbindung an eine bestehende Single-Sign-On-Lösung (SSO).
77. Rollen für BenutzerInnen flexibel festlegen
Ein:e Datenschutzbeauftragte:r nutzt eine DSMS-Software in einem anderen Ausmaß als ein Fachbereich. Diese Unterschiede werden durch bestimmte BenutzerInnenrollen abgedeckt. Stellen Sie sicher, dass jene Nutzerrollen verfügbar sind, die Sie in Ihrer Organisation benötigen. Idealerweise können Berechtigungen flexibel festgelegt werden.
78. Organisationsstruktur einpflegen
Die Organisationsstruktur bildet die Basis des Datenschutzmanagements. Es gilt daher sicherzustellen, dass sowohl juristische Personen als auch Abteilungen und Teams in der Software hinterlegt werden können und einzelne BenutzerInnen diesen Bereichen zugeordnet werden können.
79. Konzern- und Mandantenfähigkeit
Manche Programme bieten die Möglichkeit, Konzernunternehmen beziehungsweise die Konzernstruktur darzustellen. Externen DSBs steht die Funktion zur Verfügung, über einen Account mehrere Mandanten in einer Software zu verwalten.
Hinweis: Detaillierte Anforderungen für Konzerne bzw. Enterprise-Unternehmen folgen im Abschnitt „Enterprise-Anforderungen”
Benutzerfreundlichkeit der Software
Welche Funktionen erlauben es AnwenderInnen, besser mit einer Datenschutzmanagement-Software zu arbeiten? Benutzerfreundlichkeit bedeutet im Datenschutz, auf die bestehende Expertise der einzelnen AnwenderInnen einzugehen.
80. Adaptives User Interface
Durch ein adaptives User Interface sehen AnwenderInnen abhängig von ihrer Rolle unterschiedliche Felder. Denn in einer Datenschutzsoftware haben einzelne Personen unterschiedliche Anforderungen und Aufgaben. NutzerInnen aus den Fachbereichen etwa müssen nicht wissen, um welche Rechtsgrundlage es sich konkret handelt. Eine benutzerfreundliche DSMS-Software passt sich zielführend ihren AnwenderInnen an.
81. Erklärtexte, Handlungsempfehlungen und Beispiele
Die Sprache der DatenschutzexpertInnen stellt Fachbereiche häufig vor Herausforderungen. Was sind Beispiele für den Zweck der Datenverarbeitung? Wer ist ein interner Empfänger? Die ideale Datenschutzsoftware klärt Fragen proaktiv durch einfache Erklärtexte und Beispiele, sodass der Erklärungsaufwand nicht bei den ExpertInnen liegt.
82. Hinweise zu aktuellen Datenschutzthemen erhalten
Die rechtlichen Anforderungen und Best-Practices im Datenschutzmanagement ändern sich laufend. Bedarf es Standardvertragsklauseln für einen Dienstleister? Welche gesetzlichen Aufbewahrungsfristen sind vorgegeben? Das sind zwei Beispiele, bei denen Ihnen eine Datenschutzsoftware Unterstützung leisten kann.
83. Zentrale Ressourcenverwaltung
Für die nachhaltige Qualität einer Datenschutzdokumentation ist die Einheitlichkeit wichtiger Begriffe und Bezeichnung ausschlaggebend. Beispielsweise spart es viel Zeit, wenn Datentypen und Kategorien wie E-Mail-Adresse und Stammdaten aus einem zentralen Ressourcen-Register gesteuert werden. So können AnwenderInnen aus einer Vorauswahl an Datentypen wählen.
84. Ressourcen mit einem Klick harmonisieren – „Aufräumfunktion”
Oft besteht in der Datenschutzdokumentation eine fehlende Einheitlichkeit der Benennung zentraler Ressourcen - wie zum Beispiel der Angabe der Rechtsgrundlage oder der Bezeichnung von Datentypen. Um hierbei Konsistenz herzustellen, kann eine moderne Datenschutzmanagementsoftware mit einem Klick unterschiedliche Ressourcen zusammenführen bzw. harmonisieren. Das spart wertvolle Zeit bei der Sicherung der Datenkonsistenz.
Technische und sicherheitsrelevante Faktoren
In der Datenschutzmanagement-Software liegen viele vertrauliche Daten Ihres Unternehmens. Vergewissere dich daher, dass die Autorisierung und Authentifizierung von Nutzenden den höchsten Sicherheitsstandards entsprechen.
85. Anmeldeverfahren via E-Mail und sicherem Passwort
Der häufigste Anmeldeweg für Software ist die Kombination aus E-Mail-Adresse und Passwort. Achten Sie darauf, dass die Software starke Passwortrichtlinien erzwingt, um die Sicherheit der Anmeldung zu gewährleisten.
86. Single Sign-on
Anmeldungen mit Single Sign-on (SSO) sorgen dafür, dass nur AnwenderInnen Ihres Unternehmens Zugriff auf die Datenschutzsoftware erhalten. Im Enterprise Segment ist zudem die Anbindung an eine Active Directory (AD) sinnvoll.
87. Zwei-Faktor-Authentifizierung (2FA)
Die 2FA zählt in vielen Tools schon zum Standard. Auch bei der Datenschutzsoftware Ihres Unternehmens sollten Sie darauf achten, dass die 2FA verfügbar ist – immerhin befinden sich in der Software vertrauliche Informationen.
Gut zu wissen: Eine Zwei-Faktor-Authentifizierung kann durch Einmal-Codes per SMS, E-Mail oder auch durch Authenticator-Apps erreicht werden.
88. Cloud vs. On-Premise
Bei wenigen Themen zur Sicherheit von Applikationen scheiden sich die Geister, wie in der Frage: “Hosting On-Premise oder in der Cloud?” In der Regel hat Ihr Unternehmen dazu bereits eine klare Meinung, die Sie an Ihren potentiellen Softwareanbieter weitergeben können. Beachten Sie jedoch die Vor- und Nachteile der beiden Optionen. Cloud-Lösungen bieten beispielsweise in der Regel kürzere Update-Zyklen und sind schneller für Ihr Unternehmen aufgesetzt.
89. ISO 27001 Zertifizierung des Anbieters
Eine ISO 27001-Zertifizierung bestätigt, dass der Anbieter einer Datenschutzmanagement-Software höchste Sicherheitsstandards beim Schutz sensibler Daten einhält. Dies reduziert Risiken für Datenschutzverletzungen, stärkt die Compliance und bietet Unternehmen die Gewissheit, dass ihre Daten in einer sicherheitsgeprüften Umgebung verarbeitet werden.
Hinweis: Achten Sie auf den Scope der ISO-Zertifizierung. Diese kann nämlich das gesamte Unternehmen oder nur die Produktentwicklung umfassen.
90. Schnittstellen (APIs)
Möchten Sie andere Tools – beispielsweise für das Prozessmanagement oder Contractmanagement – mit Ihrem Datenschutzmanagementsystem verknüpfen, muss es dafür passende Schnittstellen geben, die sogenannten Application Programming Interfaces (APIs). Achten Sie dabei auf die bestehende Dokumentation der Rest-API, die Ihnen eine initiale Übersicht über die standardisierten Möglichkeiten gibt, Daten automatisiert zu empfangen bzw. zu senden. Anbieter im Enterprise-Segment sind darüber hinaus geübt, individuelle Anbindungen und Workflows abzubilden
91. Anbindung an eine Active Directory
Großunternehmen besitzen in der Regel eine - durch die zentrale IT verwaltete - Active Directory. Damit wird das Rollen- und Berechtigungssystem zentral verwaltet. Eine Datenschutzsoftware für das Enterprise-Segment bietet die Möglichkeit, sich an das Active Directory - z. B. Microsoft / Azure AD, Okta Identity Cloud - anzubinden. Dadurch werden die Rollen- und Berechtigungen in der Software durch die Active Directory gesteuert.
92. Übertragung der Rechte bei Nutzerlöschung
Verlässt ein Mitarbeitender Ihr Unternehmen, muss sichergestellt werden, dass alle Aufgaben und Verantwortlichkeiten im Rahmen des Datenschutzmanagements an eine andere Person übertragen werden. Eine Datenschutzmanagement-Software kann Sie dabei unterstützen, indem bei der Löschung eines Nutzer-Accounts ein anderer Nutzer ausgewählt wird (mit entsprechenden Berechtigungen), der oder die die Aufgaben des gelöschten Benutzers übernimmt.
93. Anpassbare Hinweise in der Software
Hinweise wie Beispiele, Handlungsempfehlungen und Tipps in einer Datenschutzsoftware erleichtern Benutzern die Ausführung Ihrer Aufgaben. Gerade bei Großkonzernen kann es sinnvoll sein, diese Hinweise an die Gegebenheiten Ihres Datenschutzmanagement-Systems anzupassen. Das “Customizing” kann bei manchen Datenschutzsoftware-Anbietern im Enterprise-Segment ermöglicht werden.
94. Automatische Übersetzungen der gesamten Dokumentation
Insbesondere bei international agierenden Unternehmen ist Mehrsprachigkeit gefragt – auch bei der Datenschutzsoftware. Idealerweise übersetzt das Programm die Eingaben der AnwenderInnen automatisch.
95. Mehrsprachigkeit kohärent umsetzen
Hat Ihr Unternehmen Standorte in verschiedenen Ländern, so nutzen Ihre Mitarbeitenden oft unterschiedliche Sprachen. Achten Sie bei der Auswahl Ihrer Datenschutzmanagement-Software darauf, dass diese alle Sprachen nativ im System unterstützt.
96. Ressourcen mehrsprachig unterstützen
Es mag simpel erscheinen, doch eine zentrale Herausforderung im internationalen Datenschutzmanagement besteht darin, Nutzereingaben aus verschiedenen Sprachen einheitlich zu verwalten. So entspricht der Datentyp „E-Mail-Adresse“ im Deutschen dem französischen „adresse électronique“. Würden Nutzer diesen Datentyp in unterschiedlichen Sprachen anlegen, könnte dies zu Dateninkonsistenzen führen. Führende Datenschutzmanagement-Software bündelt solche Datentypen zentral und ermöglicht eine automatische Übersetzung in alle unterstützten Systemsprachen – für eine konsistente und effiziente Verwaltung.
97. Vererbung von Prozessen, Maßnahmen und Risiken an andere Unternehmensbereiche
Um eine doppelte Dokumentation über Konzerngesellschaften zu vermeiden, bietet eine gute Datenschutzsoftware die Funktion, z. B. Verarbeitungstätigkeiten zu „vererben“ oder zu kopieren und an einer zentralen Stelle zu verwalten. Gleiches gilt für Maßnahmen, Risiken und andere zentrale Angaben.
98. Anpassung von Ressourcen-Vorlagen je Unternehmensbereich
Eine Datenschutzsoftware bietet Ihnen in vielen Bereichen eine Liste an vordefinierten Auswahlfelder an, womit Ihre Mitarbeitenden effektiver arbeiten können. Wichtig für Großunternehmen, die in unterschiedlichen Ländern agieren, ist es, diese Auswahlfelder je Unternehmensbereich anpassen zu können. Dadurch sind beispielsweise nur deutsche Aufbewahrungsfristen für Ihre Subunternehmen in Deutschland auswählbar, aber nicht für jene in Italien oder Österreich.
99. Veränderungen in Ihrer Organisationsstruktur ermöglichen
In großen Konzernen ist es keine Seltenheit, dass Unternehmensbereiche neu entstehen, zusammengelegt oder umstrukturiert werden. Eine leistungsfähige Datenschutzmanagement-Software sollte diese Veränderungen automatisch unterstützen, um einen reibungslosen Übergang zu gewährleisten. Achten Sie darauf, dass Bereiche flexibel verschoben oder ersetzt werden können, ohne dass wichtige Dokumentationen und Daten verloren gehen oder diese nur mit großem manuellem Aufwand erhalten bleiben.
100. Feingranulares Rechte- und Rollenkonzept umsetzen
Ein feingranulares Rechte- und Rollenkonzept in einer Datenschutzmanagement-Software ermöglicht es, Zugriffsrechte präzise an Unternehmensstrukturen und Verantwortlichkeiten anzupassen. So können Konzerne sicherstellen, dass nur autorisierte Personen auf sensible Daten und Funktionen zugreifen, während gleichzeitig Compliance-Anforderungen erfüllt werden. Durch eine differenzierte Rechtevergabe lassen sich Berechtigungen dynamisch steuern, was insbesondere bei komplexen Organisationsstrukturen, internationalen Teams und sich ändernden Zuständigkeiten essenziell ist.
Kriterien an den Software-Anbieter
Eine Anbieter-Due-Diligence ist ein essenzieller Bestandteil der umfassenden Bewertung einer Softwarelösung.
101. Kostenlose Demo
Lassen Sie sich die Software vorstellen und nehmen Sie zukünftige AnwenderInnen mit zu dieser Produktvorstellung. Gegebenenfalls sollten auch VertreterInnen beteiligter Fachbereiche dabei sein. Bei Unklarheiten fordern Sie am besten eine zweite Demo an, denn: Sobald Ihr Unternehmen eine Datenschutzmanagement-Software eingeführt hat, wird es diese so schnell nicht mehr wechseln.
102. Kostenlose Testphase
Probieren Sie das Programm während der kostenlosen Testphase selbst aus und sprechen Sie dabei auch mit anderen potenziellen Anwender:innen in Ihrem Unternehmen. Achten Sie bei der Erprobung darauf, mit Testdaten zu arbeiten und reale Anwendungsszenarien zu simulieren.
Gut zu wissen: Manche Anbieter stellen Testdaten zur Verfügung, um eine belastbare Prüfung zu ermöglichen.
103. Support abklären
Wie bietet der Anbieter Support an, falls Probleme oder Fragen zur Datenschutzmanagement-Software auftreten? Ist das Unternehmen selbst dafür verantwortlich, oder wurde der Support an ein Subunternehmen ausgelagert? Ist er telefonisch erreichbar oder ausschließlich per E-Mail?
Wichtig: Die Erreichbarkeit des Supports hängt häufig mit dem gebuchten Paket zusammen.
104. Datenschutzmanagement-Expertise des Anbieters
Eine Datenschutzmanagement-Software leistet bedeutsame Unterstützung für die Datenschutzverantwortlichen in Ihrem Unternehmen. Daher ist es wichtig, dass der Anbieter über datenschutzrechtliche Expertise verfügt. Darüber hinaus sollte er verstehen, wie Prozesse in Ihrem Unternehmen ablaufen – insbesondere mit Blick auf die Größe Ihrer Organisation.
105. Standort in der EU
Achten Sie bei der Auswahl darauf, dass der Anbieter in der EU ansässig ist und dessen Software explizit für die Anwendung der DSGVO entwickelt wurde. Andernfalls könnte eine komplexe Anpassung an europäisches Recht erforderlich sein. Zudem sollte sich der Serverstandort ebenfalls in der EU befinden.
106. Geschäftsmodell des Anbieters
Bevor Sie sich für eine Datenschutzmanagement-Software entscheiden, sollten Sie herausfinden, womit der Anbieter sein Geld verdient. Besteht das Geschäftsmodell hauptsächlich darin, externe Datenschutzbeauftragte zu vermitteln, wird die Software Ihren Mitarbeitenden vermutlich kaum echte Erleichterungen bringen.
In manchen Fällen steigen die Kosten zudem mit der Anzahl der AnwenderInnen in Ihrem Unternehmen – das kann negative Anreize setzen, weitere KollegInnen einzubeziehen.
107. Mission des Anbieters
Berücksichtigen Sie im Auswahlprozess, ob die mittelfristigen Ziele des Softwareanbieters mit denen Ihres Unternehmens in Einklang stehen. Die Weiterentwicklung der Software wird maßgeblich davon beeinflusst.
108. Produktportfolio
Ist Datenschutzmanagement der Kern der Software oder nur ein Add-on? Seit der Einführung der DSGVO im Jahr 2018 haben viele Anbieter ihre bestehenden Systeme um Datenschutzmodule erweitert – mit unterschiedlichem Erfolg. Prüfen Sie daher genau, wo das Unternehmen seinen eigenen Unique Selling Point (USP) sieht und ob dieser mit Ihren Zielen übereinstimmt.
109. Update-Zyklen
Der Update-Zyklus gibt Ihnen Aufschluss darüber, wie zukunftssicher eine Software aufgebaut ist. Inkrementelle wöchentliche Updates sind quartalsweisen Aktualisierungen vorzuziehen. Werfen Sie außerdem einen Blick zurück: Wie viele neue Funktionen wurden im letzten Jahr hinzugefügt? Wurde die Datenschutzmanagement-Software regelmäßig an die aktuelle Rechtsprechung angepasst?
110. Referenzen
Im Zuge Ihrer Auswahl sollten Sie prüfen, welche Unternehmen die Software des Anbieters bereits nutzen. Haben diese ähnliche Voraussetzungen wie Ihr Unternehmen? Fordern Sie gerne einen Kontakt zu bestehenden Kunden des Anbieters an, um einen Einblick aus der Kundenperspektive zu erhalten.
Onboarding & Setup
Eine Datenschutzsoftware kann durch diverse Funktionen ihr Onboarding erleichtern.
111. Import der bestehenden Dokumentation
In der Regel haben Sie bereits eine bestehende Datenschutzdokumentation. Bei der Einführung einer Datenschutzmanagement-Software sollte darauf geachtet werden, wie diese Bestandsdaten in die Software gelangen. Einige Anbieter bieten automatisierte Importprozesse aus den gängigsten Dateiformaten (CSV, Excel, Confluence, Word, etc.) an. Gerade bei großen Datenbeständen sparen Sie sich Zeit und manuellen Aufwand, wenn der Import nicht manuell erledigt werden muss.
112. Bereitstellung von Vorlagen
Vorlagen dienen im Datenschutz dazu, auf bestehenden Beispielen oder Prozessen aufzubauen. Achten Sie darauf, dass Ihre Datenschutzmanagement-Software Vorlagen unterstützt (z. B. für VTs, TOMs, Risiken). Manche Anbieter bieten darüber hinaus eigene Vorlagen an.
Hinweis: Wie die Bezeichnung “Vorlage“ schon sagt, dienen diese in der Regel nur als Vorlagen und müssen von Unternehmen noch an die eigenen Besonderheiten angepasst werden.
113. Schulungskonzept
Bedenken Sie bei der Wahl Ihrer Software, wie Sie und Ihre KollegInnen in die Software eingeführt werden. Prüfen Sie, ob das Angebot Ihren Anforderungen genügt: Handelt es sich um persönliche Schulungen für AdministratorInnen und Fachabteilungen, allgemeine Webinare beziehungsweise Schulungsvideos oder gibt es ein Handbuch?
114. Implementierungsaufwand und -unterstützung
Wie lange dauert die Einführung und Anpassung der Software? Und wie unterstützt Sie der Anbieter bei der Implementierung? Fragen Sie beim Anbieter einen Projektplan an, der aufschlüsselt, welche Verantwortlichkeiten und Abhängigkeiten bestehen.
Preisgestaltung
Die Einführung einer DSMS-Software ist natürlich auch eine finanzielle Entscheidung und die Preisgestaltung variiert zwischen den verschiedenen Anbietern. Folgende Bestandteile sollten Sie daher vorab klären.
115. Was wird genau bepreist?
Gerade bei SaaS-Anbietern ist es üblich, die Software-Nutzung monatlich abzurechnen, wobei sich der Preis dynamisch an Faktoren wie Anzahl der Nutzer, verwaltete Dokumente oder gemanagte Unternehmen anpassen kann. Diese variablen Kosten können sich laufend ändern, was die Budgetplanung erschwert. Um Planungssicherheit zu gewährleisten, sollten Sie die zugrunde liegenden Preismodelle genau analysieren und eine Total Cost of Ownership (TCO)-Kalkulation durchführen.
116. Kosten und Dauer von speziellen Anpassungen
Der Aufwand für die Anpassung der Software an Ihre Organisation hängt vom Anbieter und den Anforderungen Ihres Unternehmens ab. Klären Sie deshalb frühzeitig, wer sie durchführt und ob dafür Kosten anfallen.
117. Kosten der Implementierung
Die Implementierungskosten einer Datenschutzmanagement-Software umfassen nicht nur die Lizenzgebühren, sondern auch Aufwände für Einrichtung, Schulung und Integrationen in bestehende Systeme. Manche Anbieter setzen dabei auf externe Implementierungspartner, die die Arbeit teilweise übernehmen, jedoch auch in der Kostenkalkulation beachtet werden müssen. Andere Anbieter implementieren die Software selbst mit Ihnen.
Hinweis: Die Zeit der Implementierung einer Software hängt von vielen Faktoren ab. Klären Sie mit Ihrem Anbieter vorab, wie schnell Sie produktiv mit dem System arbeiten können.
Weitergehende Lösungen
Diese Lösungen sind nicht Teil des Kernbereichs einer Datenschutzmanagement-Software, werden jedoch von einigen Anbietern als Add-ons angeboten. Je nach Anwendungsbereich kann es sinnvoll sein, sie in eine Datenschutzmanagement-Software zu integrieren oder auf spezialisierte Anbieter zurückzugreifen.
118. Datenschutzerklärung erstellen und verwalten
Wenn Ihr VVT stets penibel gepflegt ist, können Sie die Informationen bei der Erstellung Ihrer Datenschutzerklärung nutzen. Eine DSMS-Software hilft mitunter ebenso beim Verfassen von Datenschutzhinweisen nach Art. 13 DSGVO oder zumindest ihrer Verwaltung.
119. Cookie-Banner / Consent Management
Jede Website braucht einen Cookie-Banner, sobald neben den technisch notwendigen noch weitere Cookies zum Einsatz kommen. In der Regel gibt es dafür Spezialanbieter. Jedoch kann eine Datenschutzmanagement-Software die Einstellungen und Texte des Cookie-Banners dokumentieren.
120. Cookie-Prüfung der Webseite
Unternehmen sollten regelmäßig die Cookie-Einstellungen auf allen URLs der eigenen Webseite prüfen. Denn schließlich reicht schon eine falsche Einstellung auf einer einzelnen Seite aus, um datenschutzrechtliche Probleme zu bekommen. Ein automatisierter Website-Cookie-Check bringt hier Abhilfe.
121. Datenschutz-Schulungen für Mitarbeitende
Diese Funktion überzeugt hauptsächlich, wenn es sich um interaktive Schulungen handelt und nicht um digitalisierte Frontalvorträge. Außerdem ist eine Einbindung in das eigene Learning Management System (LMS) von Vorteil. Am Ende sollten die Mitarbeitenden ein Zertifikat erhalten.
122. Online-Rechtsbibliothek
Manche Softwareanbieter bieten einen Zugang zu aktueller Fachliteratur und Primärcontent an. Dies ist ausgesprochen förderlich für Datenschutz-ExpertInnen. Sinnvoll ist zudem die Einbindung in den Workflow einer DSMS-Software.
123. Asset-Management
Die Verwaltung unternehmensspezifischer Assets ist ein zentrales Thema der Informationssicherheit – doch auch im Datenschutzmanagement kann die Verknüpfung mit einem Asset-Register von großem Vorteil sein. Sie ermöglicht eine präzisere Zuordnung von Verarbeitungstätigkeiten zu IT-Systemen, Geräten oder Datenbanken. Einige Datenschutzmanagement-Softwarelösungen bieten hierfür ein integriertes Asset Management an.
124. AI-Compliance-Management
Die datenregulatorische Aufgabe, die Einhaltung der KI-Verordnung in Unternehmen sicherzustellen, ist thematisch eng am Datenschutz angegliedert. Manche Datenschutzmanagement-Softwareanbieter bieten daher bereits Lösungen an, um die KI-Compliance zu managen. Dabei können Unternehmen auf Synergieeffekte durch die bestehende Prozessdokumentation aus dem Datenschutzmanagement zurückgreifen.
Fazit: Es gibt viel zu beachten
Wenn Sie die optimale Datenschutzmanagement-Software für Ihr Unternehmen auswählen, müssen Sie einiges beachten. Trotzdem lohnt es sich, da eine professionelle Lösung Ihrem Unternehmen in vielfacher Hinsicht weiterhilft.
Welche der 124 Kriterien für Ihr Unternehmen ausschlaggebend sind, hängt nicht nur von der Unternehmensgröße ab, sondern vor allem von dem Datenschutzreifegrad der gesamten Datenschutzorganisation.
Anhaltspunkte für Ihre Suche konnte Ihnen hoffentlich diese ausführliche Liste bieten.
Ein Rat zum Schluss: Sprechen Sie mit anderen Unternehmen mit ähnlichen Anforderungen wie Ihren. Diese können Ihnen sicherlich die Stärken und Schwächen Ihrer Bestandslösung aufzeigen.
Die Experten von caralegal helfen Ihnen aber natürlich auch gerne unverbindlich weiter.
en_US
