catworkx-Lösung für DSGVO: Datenschutz-Management-System mit Jira & Confluence

Success Story Jetzt kostenlosen Termin vereinbaren

Seit der Einführung der neuen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 herrscht in vielen Unternehmen immer noch Unsicherheit. Das hat zum einen mit der oftmals noch fehlenden Rechtsprechung zur DSGVO – Stichwort Grundsatzurteile – zu tun, zum anderen mit Umfang und Form der Dokumentation, die die DSGVO – zumeist wenig konkret – von Unternehmen einfordert.

catworkx hat sich bei der Umsetzung im eigenen Hause für einen kollaborativen Ansatz mit Hilfe von Jira und Confluence entschieden, der zudem den Datenschutz als einen lebenden Prozess begreift. Das so entwickelte Datenschutz-Management-System (DSMS) bildet nicht nur die geforderten Dokumentationsstrukturen der DSGVO ab, es ermöglicht auch größtmögliche Transparenz von Zuständigkeiten beim Datenschutz in einem Unternehmen.

Details im Überblick

Die Anforderungen
  • DSMS Configuration
  • Jira Core (Atlassian)
  • Teamworkx Issue Picker for Jira (catworkx)
  • Teamworkx Issue Publisher for Jira (catworkx)
Auskunft- und Meldesystem
  • Jira Service Management (Atlassian, optional)
  • JSU Suite Utilities for Jira (beecom)
  • Autowatch for Jira (Mohami)
Confluence Space Template (Verfahrensdokumentation)
  • Confluence (Atlassian)
  • Scroll PDF Exporter for Confluence (K15t, optional)
  • Table Filter and Charts for Confluence (StiltSoft)
Der Nutzen
  • Sinnvolle Abbildung der Strukturen der Vorgaben der DSGVO
  • Kollaborativer Ansatz für den Datenschutz
  • Datenschutz wird als lebendiger, fortlaufender Prozess umgesetzt

Divergierende Anforderungen in Unternehmen beim Datenschutz

Seit Mai 2018 ist sie gültig: Die Europäische Datenschutz-Grundverordnung (DSGVO). Ein Jahr nach der Einführung schätzt Stefan Winkel, Volljurist und Consultant Datenschutz bei der intersoft consulting services AG, die Situation so ein: “Ich würde sagen, dass die Umsetzung oder fortgeführte Umsetzung der Vorgaben der Datenschutz-Grundverordnung weiterhin noch auf der Tagesordnung der meisten Unternehmen steht. Die Panikstimmung aus dem Frühjahr 2018 ist jedoch weitestgehend verflogen, was zumeist eine sachlichere Auseinandersetzung mit der Thematik ermöglicht. Ein wenig Gelassenheit tut nach der anfänglichen Aufregung sicher allen Beteiligten auch ganz gut.”

Für Panik besteht also kein Anlass, denn ein Großteil der Unternehmen hat die wesentlichen und erforderlichen Schritte unternommen. Ob die Umsetzung aber letztendlich immer optimal gelaufen ist, wird sich in einigen Bereichen noch zeigen müssen. Denn bei einigen Unternehmen wurde die Anpassung der Geschäftsabläufe an die DSGVO als eine einmalige Aufgabe angesehen, die zudem nur wenige Mitarbeiter im Unternehmen betraf. Dabei haben unterschiedliche Abteilungen, wie zum Beispiel der Vertrieb oder die Personalabteilung, divergierende Anforderungen für den Datenschutz zu erfüllen. Unter anderem deshalb setzt catworkx bei der Umsetzung der DSGVO auf einen kollaborativen Ansatz, bei dem die Umsetzung des Datenschutzes als lebendiger Prozess begriffen wird, bei dem Workflows und Versionierungen gesteuert und abgebildet werden müssen.

Eine entscheidende Anforderung der DSGVO ist die Rechenschaftspflicht nach Art.5 Abs.2. Die Verantwortlichen in Unternehmen müssen die Einhaltung des Datenschutzes nachweisen. Weitere Dokumentationspflichten finden sich darüber hinaus beispielsweise auch in Art. 30 (Verzeichnis der Verarbeitungstätigkeiten) und 35 (Datenschutz-Folgenabschätzung) DSGVO. Daraus ergeben sich für die Struktur eines Datenschutz-Management-Systems (DSMS) drei wesentliche Bereiche:

Ein Verzeichnis der Verarbeitungstätigkeiten,

in dem dokumentiert wird, welche personenbezogenen Daten bei bestimmten Verarbeitungstätigkeiten in einer Firma erhoben und verarbeitet werden.

Ein Meldewesen,

mit einem klar definierten Prozess zur Meldung von Datenschutzverletzungen und Datenpannen.

Ein Auskunftssystem,

durch das betroffene Personen anfragen können, welche Daten von ihnen gespeichert wurden oder durch das sie eine Löschung ihrer Daten beantragen können.

Des Weiteren muss das DSMS folgende Anforderungen erfüllen:

  • Eine Dokumentation der technischen und organisatorischen Maßnahmen (TOM)
  • Eine Dokumentation über durchgeführte Datenschutz-Folgenabschätzungen (DSFA)

Es war schnell klar, dass zur Umsetzung der DSGVO bei catworkx die gängigen Dokumentationsformen nicht in Betracht kamen. So ist es übliche Praxis, die notwendige Dokumentation zur DSGVO mit Hilfe von Office-Programmen zu erstellen und fortzuschreiben. Der catworkx-Ansatz, Datenschutz als einen lebendigen Prozess zu verstehen, lässt sich mit einem solchen Ansatz nur schwer vereinbaren.

Mit Jira und Confluence zu einem Datenschutz-Management-System

Es lag auf der Hand die Umsetzung der Prozessdokumentation bei catworkx mit den Werkzeugen anzugehen, die unser täglicher Begleiter sind – also mit den Atlassian-Tools Jira und Confluence, erweitert um einige Zusatzmodule aus dem Atlassian-Ecosystem. Das Besondere an dem Ansatz ist die Pflege der relevanten Verfahren, der technischen und organisatorischen Maßnahmen (TOM) und der Datenschutz-Folgeabschätzung (DSFA) führend in Jira über Vorgänge abzubilden. Die begleitende Dokumentation dazu wird automatisiert in Confluence einsortiert und abgelegt. Die Nutzung von Vorgängen mit ihren einfach zu gestaltenden individuellen Workflows ermöglicht eine nachhaltige arbeitsteilige Dokumentation, die bedarfsorientiert die Freigabe durch den Datenschutzbeauftragten (DSB) einbezieht und ein jährliches Überprüfen und Anpassen von Verfahren und Maßnahmen fördert.

Im Detail besteht das DSMS bei catworkx aus folgenden Jira-Vorgangstypen:

das interne Verfahren,

in dem die Verarbeitungstätigkeiten des Verantwortlichen dokumentiert werden.

das Auftragsdaten Verarbeitungs-Verfahren,

in dem die Verarbeitungstätigkeiten des Auftragsverarbeiters dokumentiert werden.

die Datenschutz-Folgeabschätzung,

in der die Risiken für die einzelnen Verfahren nach Risiko, Schadensschwere und Eintrittswahrscheinlichkeit beurteilt werden.

die technisch-organisatorischen Maßnahmen,

in denen die vorgeschriebenen Maßnahmen, die den Schutz und die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten, dokumentiert werden.

die Versionierung,

in dem jedes Verfahren einer zyklischen Wiedervorlage (Review) unterzogen wird – in der Regel einmal jährlich – oder wenn bei der DSGVO aktuell eine Änderung in Kraft tritt.

Dynamisch werden die jeweiligen Vorgänge in Jira automatisiert in ein bereits vorher definiertes Verfahrensverzeichnis in Confluence übertragen und dokumentiert. Hier kommt der Teamworx Issue Publisher for Jira von catworkx zum Einsatz. So entsteht im Confluence ein dynamisches Verfahrensverzeichnis, in dem alle einzelnen Verfahren mit ihren jeweiligen Maßnahmen dokumentiert sind. Auch der kollaborative Ansatz von catworkx beim Datenschutz wird deutlich, denn einzelne Maßnahmen sind den jeweils Verantwortlichen, zum Beispiel in der Personalabteilung, dem Vertrieb oder der internen IT, zugeordnet. Datenschutzbeauftragter Stefan Winkel stellt dazu fest: “Für Abteilungen mit unterschiedlichen Tätigkeitsschwerpunkten wie z.B. im operativen und administrativen Bereich ergeben sich auch in datenschutzrechtlicher Hinsicht unterschiedliche Schwerpunkte. Es ist daher durchaus von Vorteil, die internen Verantwortlichkeiten entsprechend zuzuweisen und in den Abteilungen entsprechendes Know-how zu bilden. Gleichzeitig muss das große Ganze im Blick behalten werden können, um eine Inselbildung zu verhindern. Das lässt sich beispielsweise mit einem Prozessmanagement-Tool, wie es bei catworkx zum Einsatz kommt, gut steuern.”

Eine weitere Besonderheit des catworkx-Ansatzes ist die Versionierung der einzelnen Vorgänge und der aus ihnen abgeleiteten Maßnahmen. Denn klar ist: Für den Bereich der technischen und organisatorischen Maßnahmen ist nach Art. 32 Abs.1 lit. d der DSGVO eine regelmäßige Prüfung vorgeschrieben. Aber auch das Verzeichnis der Verarbeitungstätigkeiten oder anderer Pflichtdokumentationen müssen aktuell gehalten werden. “Eine einheitliche Verwaltung der vorhandenen Dokumentationen über ein Prozessmanagement-Tool kann die Verwaltung der vorhandenen Maßnahmen dabei ungemein vereinfachen”, erklärt Stefan Winkel.

Oliver Groht, Co-Founder catworkx

Mit unserer DSGVO-Lösung haben wir konsequent Jira und Confluence so eingesetzt, dass die beiden Tools auf einfache Art und Weise den größten Mehrwert für den Nutzer bringen. Mit unserer Erfahrung konnten wir binnen vier Wochen eine Lösung auf die Beine stellen, die sogar großen Spezial-Lösungen das Wasser reichen kann.

Oliver Groht Co-Foundercatworkx

Eingebaute Eskalationsautomation

Regelmäßig werden die Einzelverfahren einer Prüfung unterzogen und so sichergestellt, dass der Datenschutz immer auf dem aktuellen Stand bleibt. Dies ist mit Blick auf die immer noch unsichere Rechtsauslegung der DSGVO ein Pluspunkt, sollten zum Beispiel Änderungen im Gesetz auftreten. Ein weiterer Vorteil der catworkx-Lösung ist die Möglichkeit, in Jira Dashboards zu erstellen, durch die jederzeit Reports über den Stand des Datenschutzes, unter Umständen mit einer notwendigen Eskalationsstufe, aufgerufen werden können.

Die Umsetzung des DSMS mit Jira und Confluence bietet auch für das Auskunftssystem einen Mehrwert, denn die Anforderungen einer Auskunft über die Verarbeitung von personenbezogenen Daten oder einer Löschung kann über ein Jira Service Management erfolgen. Dabei ist der Prozess der Auskunft ein anderer als der Prozess zur Meldung über eine Verletzung des Datenschutzes. Hier muss nach Art. 33 der DSGVO gegenüber der Aufsichtsbehörde eine Meldung innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzverletzung erfolgen. Deshalb gewährleistet der konfigurierte Workflow in diesem Prozess eine Eskalationsautomation.

Bewusstsein für den Datenschutz wird geschärft

Für die Umsetzung der DSGVO bei catworkx zieht Stefan Winkel eine positive Bilanz: “Wie bei den meisten anderen Unternehmen erfolgte die Implementierung der erforderlichen Maßnahmen auch bei catworkx zunächst durch wenige Personen. Der laufende Betrieb von Datenschutzkonzepten wird jedoch von Unternehmen zu Unternehmen unterschiedlich gehandhabt. Bei catworkx hat man sich dazu entschieden, die Beschäftigten bei der Pflege des Datenschutzkonzeptes umfangreich einzubinden. So wurden die erforderlichen Aufgaben auf möglichst viele Schultern verteilt. Positiver Nebeneffekt dieser Regelung ist, dass die Beschäftigten auch über die obligatorische Datenschutzschulung hinaus hin und wieder mit dem Thema in Berührung kommen. Ich halte das grundsätzlich für einen sehr guten Weg für catworkx.”

Denn der Vorteil des von catworkx entwickelten Datenschutz-Management-Systems (DSMS) liegt zum einen in der vorgefertigten Struktur, mit der die Maßnahmen für den Datenschutz in Unternehmen und Behörden klar und nachvollziehbar erfasst werden. Zum anderen besticht das DSMS von catworkx durch seinen kollaborativen Ansatz, der den jeweiligen Verantwortlichkeiten Rechnung trägt. Und es versteht Datenschutz nicht als einen einmaligen Vorgang, sondern als einen laufenden, veränderlichen Prozess, der durch die Versionierungsfunktion gut gesteuert werden kann.

Kontaktieren Sie uns!

Wir beraten Sie zum gesamten Atlassian Ecosystem und unterstützen Sie gerne hinsichtlich der Optimierung von Lizenzmodellen und -kosten.

Bitte füllen Sie alle markierten Felder (*) aus.

Falls Sie Fragen haben, einen Gesprächstermin oder Rückruf wünschen, lassen Sie es uns gerne wissen.
Wir freuen uns über Ihre Nachricht und melden uns schnellstmöglich bei Ihnen.

* Pflichtfelder

Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.

Das könnte Sie auch interessieren